CONFIGURACION DEL FIREWALL DISTRO PF-SENSE
DIANA MARCELA ARBOLEDA OROZCO
FECHA: 30/06/2011 GRUPO: 38110
INSTRUCTOR: MAURICIO ORTIZ
SERVICIO NACIONAL DE APRENDIZAJE SENA ADMINISTRACION DE REDES MEDELLIN 2011
El paso principal seria colocar las maquinas en diferentes redes ejm: la máquina de la LAN debería ir en red interna (inet) con ip 192.168.150.50 Maquina del correo (DMZ) debería de ir en red interna (DMZ) con ip 192.168.100.40 La dirección que asigna el pfsense en la WAN por dhcp es 192.168.10.79. En la siguiente imagen podemos ver que tiene dos interfaces, la interfaz WAN y la interfaz LAN. es necesario que en la maquina se configure la ip de la puerta de enlace que en este caso es la 192.168.150.1 para que estas se puedan ver y pueda funcionar nuestro firewall.
Luego en la máquina de la LAN, abrimos un navegador el cual colocaremos la ip 192.168.150.1.
Como se puede ver en la imagen al copiar la ip nos abre una ventana la cual pide autenticación, el usuario por defecto es admin y la contraseña es pfsense. Damos aceptar.
Nos abre una ventana en la cual podremos administrar el pfsense y este caso administraremos el firewall
Después de que nos abriera añadiremos la interfaz de la DMZ donde estarán los servicios que denegaremos. Damos sabe (guardar).
En la maquina de la WAN podremos observar que al añadir la interfaz en el paso anterior, automaticamente aparecera en esta como muestra la imagen.
La máquina de la LAN debe estar en red interna (inet).
Damos el comando “ifconfig” y muestra como ip 192.168.150.50.
Desde esta máquina daremos un ping a la dirección 192.168.100.1 que es la puerta de enlace de la maquina del correo (DMZ), y vemos que esta da ping.
Desde la misma máquina la ping ala ip 192.168.10.79 que es la máquina de la WAN asignada por dhcp, y podemos ver que da ping correctamente
En la máquina de Correo (DMZ) se coloca en red interna (DMZ)
Damos el comando ifconfig para observar la ip que esta tiene que es la 192.168.100.40
Damos un ping a la puerta de enlace de la máquina de la LAN y nos muestra que no encuentra la red de destino.
Se hace el mismo procedimiento con la ip de la WAN 192.168.10.79. Y nos dice lo mismo que no encuentra la red de destino.
Desde la máquina de la WAN damos un ping ala ip de la LAN y nos da ping correctamente.
Pero hacemos un ping desde la misma hacia la máquina de la DMZ y no nos da ping.
NOTA: lo que se acabo de mostrar (ping entre las 3 maquina) está correctamente configurado ya que la máquina de DMZ no puede ver ninguna de las dos maquinas, la máquina de la WAN solamente puede ver la máquina de la LAN, y la máquina de la LAN puede ver las otras dos maquinas (DMZ WAN).
Para observar que desde la máquina de LAN se puedan ver los servicios de la DMZ sin que estas dos tengan necesidad de verse, podemos ver como se configura el firewall. Entramos al navegador de la LAN y se abrirá una ventana como aparece en la imagen, damos clic en “firewall/rules” que es donde crearemos las reglas de entrada y salida.
Nos muestra las 3 interfaces y damos clic en la interfaz de la Lamy luego en agregar una nueva regla (+)
Como primer regla se deniega para después comenzar a agregar las demás reglas en las cuales se permiten los diferentes servicios en las 3 interfaces.
Luego lo que aremos es dejar pasar por la interfaz LAN el pop3 y luego guardar cambios. ACTION: pass INTERFACE: LAN PROTOCOL: TCP SOURSE: LAN subnet DESTINATION PORT RANGE: pop3+ Como se puede ver en la imagen, lo mismo aremos para crear las demás reglas de entrada solo que se cambia el puerto y el servicio que se desee permitir.
Después de haber hecho el paso anterior con los demás servicios se pueden ver en el cuadro, la regla por defecto de denegar que es la que está en la parte inferior de la imagen, y las demás reglas donde se permite el paso de los siguientes servicios: pop3, imap, smtp,http, https, ftp, dns . Y la regla del ping.
Luego lo que aremos es dejar pasar por la interfaz WAN el DNS y luego guardar cambios. ACTION: pass INTERFACE: WAN PROTOCOL: TCP/UDP SOURSE: WAN address DESTINATION PORT RANGE: dns Como se puede ver en la imagen, lo mismo aremos para crear las demás reglas de entrada solo que se cambia el puerto y el servicio que se desee permitir.
Después de haber hecho el paso anterior con los demás servicios se pueden ver en el cuadro, la regla por defecto de denegar que es la que está en la parte inferior de la imagen, y las demás reglas donde se permite el paso de los siguientes servicios: ftp (20), ftp (21), dns, https, pop3, smtp . Desde la red de destino 192.168.100.40
Luego lo que aremos es dejar pasar por la interfaz DMZ el DNS y luego guardar cambios. ACTION: pass INTERFACE: DMZ PROTOCOL: TCP/UDP SOURSE: DMZ subnet DESTINATION PORT RANGE: dns Como se puede ver en la imagen, lo mismo aremos para crear las demás reglas de entrada solo que se cambia el puerto y el servicio que se desee permitir.
Después de haber hecho el paso anterior con los demás servicios se pueden ver en el cuadro, la regla por defecto de denegar que es la que está en la parte inferior de la imagen, y las demás reglas donde se permite el paso de los siguientes servicios: ftp (21), dns, http,. Desde la red WAN de destino
Luego iremos a agregar las reglas del nat “firewall/nat”
En este paso lo que aremos es que con el NAT podremos re direccionar es decir, todo lo que venga desde a red WAN lo direcciones a la LAN y guardamos los cambios. El mismo procedimiento loaremos para crear las demás reglas cambiando el servicio de desee re direccionar.
En esta parte podemos observar los servicios que fueron re direccionados a la interfaz LAN.
Ahora procedemos a probar el funcionamiento de las reglas Desde la consola de la LAN danos el comando “nslookup” para probar el servicio del DNS. Primero probaremos con server 192.168.100.40 para probar conectividad con la maquina del DMZ y vemos que nos da correctamente Luego con el dominio completo: diana.lasezi.lab Luego con la ip 192.168.100.40 Y después con el sitio web : www.lasezi.lab Y como podemos ver en la imagen cada uno de estos funcionó correctamente
Luego desde un navegador colocamos la ip del servidor 192.168.100.40 y vemos que esta nos abre correctamente.
NOTA: el internet debe estar navegando normalmente al estar la máquina de la LAN en red interna (inet), mientras que la DMZ no cumple con esta regla.
