pfSense, solución integral para firewall

por | 8 Abril, 2015

pfSense Logo

pfSense es una distribución FreeBSD, de código abierto y gratuita, diseñada para utilizarse como firewall y router. Está basado en la distribución m0n0wall, pero a diferencia de m0n0wall que está enfocado en hardware específico, pfSense está pensada para poder convertir cualquier PC o servidor en un potente cortafuegos, así como también es posible instalarlo en hardware específico (y de hecho tienen una tienda donde venden appliances). Es una plataforma bastante popular y adaptable a cualquier escenario de red, desde una pequeña red hogareña con un solo equipo hasta grandes empresas con miles de equipos y varias redes.

Y como esta entrada del blog está pensada a modo informativo, algunas características interesantes:

Dashboard de pfSense

  • Interfaz de configuración web webConfigurator.
  • Filtrado por dirección IP de orígen y destino, protocolo, puertos, flags, sistema operativo, etc.
  • Registro (log) de tráfico detallado para cada regla.
  • Políticas de ruteo altamente felxibles, siendo posible seleccionar el gateway asociado a cada regla (útil para balanceo de carga, failover, multi-WAN, etc.)
  • Uso de alias para gestionar grupos de IPs, redes, puertos, etc. y usarlos en la creación de reglas.

Reglas de firewall en pfSense

  • Capacidad de operar en modo transparente en capa 2 (es posible conectar interfaces en modo bridge y filtrar tráfico entre ellas, configurado como firewall sin dirección IP)
  • Redirección de puertos, utilizando rangos y múltiples direcciones IP públicas
  • NAT 1:1 para IPs y subredes enteras
  • NAT para tráfico saliente
  • NAT reflejado (NAT-T)
  • Servidor DHCP y relay
  • Soporte para servidor DNS interno (Tiny-DNS o Bind)
  • Balanceo de carga de salida (con varias conexiones WAN se forma un pool de gateways)
  • Balanceo de carga de entrada (útil para distribuir carga entre varios servidores)
  • Soporte para VPNs IPsec, L2TP, OpenVPN, e PPTP
  • Gráficos RRD (CPU, RAM, firewall, tráfico, etc.)
    Gráficas RRD en pfSense
  • Soporte para DNS dinámicos
  • Portal cautivo, permite forzar la autenticación o redireccion a una página para acceder a la red
  • Herramientas para pruebas en red (sniffer, nmap, etc.) integrados
  • Logs avanzados (con varias formas de visualizacion y filtrado)
  • Acceso por línea de comandos (serial y SSH)
  • Redundancia y clúster de alta disponibilidad (pfsync y CARP failover)
  • Toda la configuración almacenada en un archivo XML, también almacena un histórico de configuraciones
  • Sistema de paquetes para implementar nuevas funcionalidades (Squid, SquidGuard, ClamAV, Snort, Dansguardian, Asterisk, Bind, SuricataIDS, spamassasin, Apache + modsecurity, ntop, cliente Bacula, etc.)

Por lo cual, en funcionalidad viene siendo la solución libre más completa que he probado.

Otro punto a destacar es su comunidad activa, algunos números respecto lo demuestran:

  • Más de 62.700 usuarios del foro registrados.
  • Más de 700 miembros en la lista de correo de soporte.
  • 625.626 posts en 85.884 temas en el foro.
  • Promedio de 77 usuarios nuevos registrados por día.
  • Promedio de 148 nuevos posts diarios en el foro.

El desarrollo se mantiene activo y constante, siendo su última versión estable la 2.2.1 lanzada el 13 de marzo de 2015, en cuyo proceso de desarrollo se han cerrado 392 tickets, de los cuales 55 corresponden a funciones o tareas, 135 a errores de seguridad reparados, y 202 a errores introducidos al actualizar el sistema base FreeBSD de 8.3 a 10.1, cambiar los daemons de almacenamiento de claves de IPSec, actualizar el backend de PHP a la versión 5.5 y añadir el servidor de DNS Unbound, así como otros cambios menores.

A su vez, ofrecen servicios varios, siendo los más destacados una suscripción de soporte Gold y el programa pfSense University, a través del cual ofrecen 2 cursos para aprender el manejo de la plataforma (Fundamentals y Advanced).

Desde su web es posible descargar un LiveCD para probarlo o instalarlo, y en GitHub se encuentra el código.

Intentaré próximamente publicar artículos técnicos sobre pfSense e implementación de funciones en él.

Un pensamiento en “pfSense, solución integral para firewall

  1. Pingback: Redirección de puertos (port forwarding) con pfSense – Damián Muraña 2.0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *