PfSense es una distribución de FreeBSD adaptada para su uso como firewall y router. Se caracteriza por ser de código abierto y contar con una interfaz web sencilla para su configuración. El proyecto comenzó en 2004 como un fork de m0n0wall y puede instalarse en cualquier ordenador con dos tarjetas de red, configurándose principalmente a través de su portal web sin necesidad de conocimientos avanzados de línea de comandos.
2. INTRODUCCIÓN
pfSense es una distribución personalizada de FreeBSD adaptado para su uso
como Firewall y Router. Se caracteriza por ser de código abierto, puede ser
instalado en una gran variedad de ordenadores, y además cuenta con una
interfaz web sencilla para su configuración. El proyecto es sostenido
comercialmente por BSD Perimeter LLC.
3. PFSENSE
HISTORIA.
El proyecto pfSense se inició en septiembre de 2004 por Chris Buechler y Ullrich Scott
como un fork de m0n0wall, enfocado a las instalaciones en PC y Servidores (al
contrario de m0n0wall que se orientaba a ambientes embebidos y ordenadores de
bajos recursos). Se calcula que para diciembre de 2010, pfSense contaba con más de
un millón de descargas.2 De acuerdo a su página oficial, se ha instalado exitosamente
en distintos ambientes, que van desde redes domésticas hasta grandes
corporaciones, universidades y otros tipos de organizaciones.
INSTALACION Y USO.
PfSense puede instalarse en cualquier ordenador o servidor que cuente con un
mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez
copiados los archivos del sistema al disco duro, se procede a configurar las
direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al
sistema desde un explorador web. El portal de administración está basado en PHP y
teóricamente todas las configuraciones y administración se pueden realizar desde allí,
por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de
comandos UNIX para su manejo.
4. FILTRADO DE DATOS.
ASISTENCIA.
Se recomienda que utilice el Traffic Shaping Asistente para crear un conjunto
predeterminado de reglas desde la que empezar. Las normas que el asistente crea a
veces pueden lidiar bien con el tráfico de VoIP, pero es necesario ajustar para dar
cabida a otro tipo de tráfico.
Como ejemplo, echemos un vistazo a la configuración de tráfico P2P. Suponiendo que
use el asistente, habrá qP2Pup y qP2Pdown creado ya. Al iniciar una aplicación P2P,
debería ver el tráfico en estas colas. Están diseñados para transportar la mayor parte
del tráfico P2P, que normalmente se hace más lento su conexión hacia abajo. El
tráfico de genéricos, como las páginas web (HTTP), correo electrónico, mensajería
instantánea, VoIP, etc voy a entrar en otras colas.
Inicialmente, el asistente establece todas las colas de hasta el 1% del ancho de
banda. Esto no es suficiente. En particular, los de la cola qwanacks ciertamente
necesitan más ancho de banda si lo hace un montón de descarga. En primer lugar,
una breve nota acerca de los paquetes ACK.
5. ACK.
Cuando se descarga, el equipo tiene que enviar (upload) los paquetes ACK. Estos
son, básicamente, diciendo: "sí, tengo esa parte de la descarga OK". Si el equipo que
se descarga desde detecta que un ACK no se ha recibido, se supone que los datos no
se ha recibido y lo envía de nuevo. La velocidad a la que ACK son enviados de vuelta
también se utiliza para ayudar a determinar la velocidad máxima que se puede
descargar los datos de los casos, por lo que es importante que los ACK son enviados
tan pronto como sea posible y no se cayó con el fin de mantener sus descargas que
fluye rápido. Además, en repetidas ocasiones cayó ACKs puede dar lugar a las
conexiones interrumpidas, en la página web de los tiempos de espera, etc.
Cuando se descarga, qwanacks es donde los paquetes ACK su ordenador envía
ir. Usted necesita asegurarse de que esta cola tiene suficiente ancho de banda para
mantener tus descargas. Para calcular cuánto ancho de banda que necesita, hay dos
opciones. Usted podría simplemente experimento, manteniendo un ojo en la cola
mientras se descarga tan rápido como su conexión lo permite, o usted podría tratar
de resolverlo. Como punto de partida aproximado, una conexión por cable NTL
10Mb/512Kb necesita alrededor de 260-270Kb/segundos, de los paquetes ACK para
descargar a toda velocidad.
6. Tomando el ejemplo anterior, podemos ver que ACKs puede consumir el 60%
del ancho de banda de subida disponible. Así, qwanacks debería tener al
menos 60% del ancho de banda disponible (yo uso 65% para el anterior). Si
se establece qwanacks como este, no debería ver las gotas en la cola. Sin
embargo, usted verá mucho en qP2Pup, pero eso está bien.P2P paquetes de
carga son sólo el tráfico masivo, no muy importante por lo que no importa si
se les cae un poco. qP2Pup ahora va a utilizar lo que queda de la banda de
subida disponible, después de qwanacks ha utilizado hasta el 65% de la
misma. Usted probablemente querrá aumentar la asignación de ancho de
banda de qwandef así, ya que es donde las peticiones HTTP y otras cargas
generales van, que lo más probable es que usted quiere ser una prioridad
mayor que qP2Pup. Porcentajes de ancho de banda no es necesario sumar
el 100%, pero a menos que tengas una conexión muy lenta que no necesita
demasiado para qwandef ya que es sobre todo pequeñas peticiones o los
impares pocos kb de correo electrónico.
7.
8. PfSense 2.0 Guía de Traffic Shaping
El acceso a la configuración de pfSense Traffic Shaping es a través de la opción de Traffic Shaper
en el Firewall de lista desplegable en la WebGUI.
¿QUE ES LA MODULACION DEL TRAFICO?
Control del tráfico (también conocido como "gestión de tráfico,") es el control del tráfico de redes
informáticas con el fin de optimizar o garantizar el rendimiento, baja latencia, y / o aumentar
el ancho de banda utilizable por retrasar los paquetes que cumplen con ciertos criterios. Más
en concreto, de tráfico es cualquier acción en un conjunto de paquetes (a menudo llamado
un arroyo o un flujo), que impone un retraso adicional en los paquetes de tal manera que se
ajusten a alguna restricción predeterminada (un contrato o un perfil de tráfico).
9. VPN
Pfsense incorpora el paquete openvpn que permite crear redes privadas virtuales
(VPN).
Con OpenVPN podremos extender nuestra red a cualquier lugar del mundo,
haciendo que la identificación y la comunicación sean seguras.
Antes de tener pfSense el administrador de la red se conectaba al escritorio de
uno de los servidores Windows de su red por RDP, desde una IP fija. Al usar una
IP fija se podía controlar con las reglas de uno de los routers ADSL el acceso a
este servicio.
Ahora, con OpenVPN el administrador entra directamente en la red local, sin
necesidad de que ningún ordenador le haga de puente. Y lo hace desde una IP
dinámica, autentificándose en base a certificados SSL.
10.
11. INSTRUCCIONES.
Hay dos tipos de imágenes de pfSense:
Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y
no admite instalación de paquetes. De esta forma se preserva la vida de la Compact Flash.
Se presenta comprimida con gzip, con la extensión img. No soporta ni teclado ni monitor, hay
que conectar cable serie para acceder a la consola de pfSense y poder hacer la
configuración inicial.
LiveCD. Es una imagen iso, también comprimida con gzip, para ser ejecutada desde el propio
CD. Tiene una opción para instalar pfSense en disco duro y a partir de entonces se pueden
instalar paquetes, muchos de ellos administrables desde la interfase web.
Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que hayan salido):
Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedded
LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso
Imágenes no-oficiales de Hacom:
Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayoría de
ellos basados en miniPC con tarjeta Compact Flash. Las
imágenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se diferencian de
las oficiales por:
Usar el gestor de arranque grub en lugar del propio de FreeBSD.
Soporte para teclado y monitor. No se precisa cable serie para la configuración inicial.
Las imágenes que empiezan por pfSense-releng_1_2-snapshot070424 corresponden a la
versión 1.2 BETA de pfSense, con fecha 24-abril-2007. Tengo esta versión funcionando
satisfactoriamente desde el 25-abril-2007.