El libro pfSense

Lanzamiento
subido por Garbage, comunidad.dragonjar.org

El equipo de pfSense

28 de de marzo de, 2017

 CONTENIDO

1 Prefacio 1
1.1 Reconocimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1.2 Evaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 Convenciones tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.4 Autores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2 Prólogo 5

3 Introducción 7
3.1 ¿Qué significa para pfSense / media? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2 ¿Por qué FreeBSD? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.3 Implementaciones comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4 Terminología interfaz de nomenclatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.5 Búsqueda de información y obtención de ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.6 Proyecto de Inicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4 Conceptos de Redes 13
4.1 Comprensión de direcciones IP públicas y privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.2 Conceptos de subredes IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.3 Dirección IP, subred y Puerta Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.4 Comprensión de la notación de la máscara de subred en CIDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.5 CIDR Sumarización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dieciséis

4.6 Dominios de difusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4.7 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.8 Breve introducción a las capas del modelo OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

5 Hardware 31
5.1 Requisitos mínimos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Selección 5.2 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5.3 Hardware Orientación Dimensionamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5.4 Hardware Tuning y solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Compatibilidad de Hardware 5.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

6 Instalación y actualización 39
6.1 Descarga del medio de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6.2 Preparar el medio de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3 conectarse a la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
6.4 Realizar la instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
6.5 Asignación de interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.6 Técnicas de instalación alternativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
6.7 Solución de problemas de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

yo
 6.8 Actualización de una instalación existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.9 Ajustes del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

7 Con fi guración 63
Asistente 7.1 Configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
7.2 Interfaz Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
7.3 Administración de listas en la GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7,4 navegar rápidamente la interfaz gráfica de usuario con accesos directos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7.5 Opciones Generales de Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7.6 Opciones avanzadas de Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
7.7 Información básica del menú de la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7.8 Sincronización de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
7.9 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
7,10 pfSense XML Con fi guración del archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
7.11 ¿Qué hacer cuando se cerró la puerta de los WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
7.12 Conexión a la WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

8 Interfaz Tipos y con fi guración 115

8.1 Grupos de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
8.2 Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.3 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.4 QinQs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.5 Puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.6 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
8.7 PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
8,8 GRE (Generic Routing Encapsulation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8,9 GIF (interfaz de túnel Generic) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8,10 LAGG (Link Aggregation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
8.11 Interfaz Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8.12 Tipos de WAN IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.13 Tipos de WAN IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.14 interfaces físicas y virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

9 Gestión de usuarios y autenticación 131

Gestión del usuario 9.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
9.2 Servidores de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9.3 Ejemplos de autenticación externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
9.4 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.5 apoyo a lo largo pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

10 Certi fi cado de Gestión 143

10.1 Certi fi cado de Gestión de la autoridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
10.2 Certi fi cado de Gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Gestión cado lista de revocación 10.3 Certi fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
10.4 Introducción básica a X.509 Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . 152

11 Copia de seguridad y recuperación 155

Las copias de seguridad 11.1 decisiones en el WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.2 Uso de la fi AutoCon gBackup Paquete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
11.3 factibles otros métodos de copia de seguridad remota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
11.4 Restauración de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
11.5 Los archivos de copia de seguridad y directorios con el paquete de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 162
11.6 Advertencias y Gotchas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
11.7 Estrategias de respaldo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

ii
12 Firewall 165
12.1 Firewalling Fundamentals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
12,2 Ingress Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
12.3 Filtrado de Egreso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
12.4 Introducción a la pantalla de las reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
12.5 Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
12.6 de reglas de cortafuegos Buenas Prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Metodología 12.7 Regla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
12.8 Con fi guración fi reglas de cortafuego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
12.9 Reglas flotantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
12.10 Métodos de uso de direcciones IP públicas adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
12.11 direcciones IP virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
12.12 Reglas basada en el tiempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
12.13 Ver los Registros del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
12.14 ¿Cómo se bloquea el acceso a un sitio Web? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
12.15 Solución de problemas de las reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

Traducción de Direcciones de Red 13 211

13.1 puerto reenvía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
13.2 1: 1 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
13,3 Ordenamiento de NAT y Firewall Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
13.4 NAT reflexión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
13.5 de salida NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
13.6 La elección de una fi guración Con NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
13.7 NAT y Protocolo de compatibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
13.8 de red IPv6 Prefijo x Traducción (TNP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
13.9 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
13.10 predeterminado NAT Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

14 enrutamiento 239
14.1 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
14.2 Configuración de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
14.3 Grupos de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
14,4 rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
14.5 Las direcciones de enrutamiento IP públicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
14.6 Protocolos de enrutamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
14.7 Solución de problemas de rutas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

15 Bridging 257
15.1 Creación de un puente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
15.2 Opciones avanzadas Bridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
15.3 Bridging e Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
15.4 Bridging y rewalling fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
15.5 puente entre dos redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
15.6 interoperabilidad Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
15.7 Tipos de puentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
15.8 Bridging y bucles de Capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

16 LAN virtuales (VLAN) 267

16.1 Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
16.2 VLAN y Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
16.3 pfSense VLAN Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
16.4 Interruptor de VLAN con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
16,5 pfSense QinQ Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
16.6 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

iii
17 Conexiones WAN múltiples 287
17.1 Multi-WAN Terminología y conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
17.2 Estrategias de políticas de encaminamiento, de carga y failover . . . . . . . . . . . . . . . . . . . . . . . . 289
17.3 Multi-WAN Advertencias y consideraciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
17.4 Resumen de los requisitos Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
17.5 de equilibrio de carga y conmutación por error con Grupos de puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
17.6 Interfaz y DNS Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
17.7 Multi-WAN y NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
17.8 Políticas de Enrutamiento con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
17.9 Comprobación de la funcionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
17.10 Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
17.11 Multi-WAN en un palo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
17.12 Multi-WAN para IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
17.13 Multi-Link PPPoE (MLPPP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
17.14 La elección de conectividad a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

18 Redes Privadas Virtuales 307

18.1 La elección de una solución VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
18.2 VPN y reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
18.3 VPNs y IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
18.4 PPTP Advertencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
18.5 implementaciones comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311

19 IPsec 315
19.1 IPsec e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
19.2 Selección de opciones de con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
19.3 reglas de cortafuego IPsec y fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
19.4 de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
19,5 móvil IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
19.6 Prueba de conectividad IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
19.7 Solución de problemas de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
19.8 Con fi gurar dispositivos de IPsec de terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
19.9 Terminología de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

20 OpenVPN 383
20.1 OpenVPN e IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
20.2 OpenVPN de Con fi guración Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
20.3 Uso del Asistente del servidor OpenVPN para el acceso remoto . . . . . . . . . . . . . . . . . . . . . . . . . 394
20.4 Con fi gurar usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
20.5 Instalación de cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
20.6 de sitio a sitio Ejemplo (Shared Key) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
20.7 de sitio a sitio Ejemplo Con fi guración (SSL / TLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
20.8 Comprobación del estado de los clientes y servidores OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . 420
20.9 Permitir fi c tráfico al servidor OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
20,10 Permitir tráfico c sobre OpenVPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
20.11 clientes OpenVPN y acceso a Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
20.12 Asignación de OpenVPN Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
20.13 NAT con conexiones OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
20.14 OpenVPN y Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
20.15 OpenVPN y la carpa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
20.16 Conexiones en puente de OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
20.17 Las opciones de personalización con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
20.18 comparte un puerto con OpenVPN y un servidor Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
20.19 Los parámetros de control de cliente a través de RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

iv
 20.20 Solución de problemas OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
20.21 OpenVPN y Certificados fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437

21 L2TP VPN 439

21.1 L2TP y reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
21.2 L2TP y Multi-WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
21.3 Servidor L2TP con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
21.4 L2TP con IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
21.5 Solución de problemas L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
21.6 L2TP Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Advertencia 21,7 L2TP Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446

22 Traf fi c Shaper 447

22.1 Lo que el fi co talladora Traf puede hacer por usted . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
22.2 Las limitaciones de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
22.3 Tipos ALTQ Programador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
22.4 Con fi gurar la fi co talladora ALTQ Traf Con el Asistente . . . . . . . . . . . . . . . . . . . . . . . . . 450
22.5 Supervisión de las colas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
22.6 Personalización avanzada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
22.7 limitadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
22.8 Capa 7 Inspección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
22,9 Traf fi c Shaping y VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
22.10 Solución de problemas de la talladora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
22.11 Traf Fundamentos Shaping fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

23 Servidor de equilibrio de carga 467

Opciones de equilibrio de carga con fi guración 23.1 Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
23.2 Web Server Load Balancing Ejemplo Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . 471
23.3 Solución de problemas del servidor de equilibrio de carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

24 Wireless 479
24.1 recomendados de hardware inalámbrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
24.2 Trabajar con Access Point Wireless Virtual Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 482
24.3 WAN inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
24.4 Bridging e inalámbrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
24.5 mediante un punto de acceso externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
24.6 pfSense como un Punto de Acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
24,7 protección adicional para una red inalámbrica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
24.8 Con fi gurar un Secure Wireless Hotspot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
24.9 Solución de problemas de conexiones inalámbricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498

25 portal cautivo 501

25.1 Zonas portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
25.2 Escenarios portal cautivo Común . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
25.3 Zona de Con fi guración Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
25.4 Control de dirección MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510
25.5 mascotas Dirección IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
25.6 Los nombres de host animales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
25.7 Vales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Gestor de 25.8 Archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
25.9 Visualización de los usuarios autenticados del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
25.10 Solución de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
25.11 Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

26 de alta disponibilidad 523

v
 26.1 pfsync general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
26,2 pfSense XML-RPC Con fi g de sincronización general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
26,3 Ejemplo redundante Con fi guración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
26.4 Multi-WAN con HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
26.5 Verificación de la funcionalidad de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
26,6 proporcionar redundancia Sin NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
26.7 Capa 2 Redundancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
26.8 de alta disponibilidad con Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
26.9 Utilización de alias IP para reducir el latido del corazón de trá fi co . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
26.10 Interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
26.11 Solución de problemas de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
26.12 CARP general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543

27 Servicios 547
Servidor DHCP IPv4 27.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
27.2 IPv6 del servidor DHCP del router y Anuncios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
27.3 DHCP y DHCPv6 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556
27.4 de resolución de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
27,5 DNS Forwarder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
27.6 DNS dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
27.7 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
27.8 UPnP y NAT-PMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
27.9 NTPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
27.10 Wake on LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
27.11 Servidor PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
27.12 proxy IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580

28 SystemMonitoring 583
28.1 Registros del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583
28.2 Registro remoto con Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
28,3 tablero de instrumentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
28,4 puerto de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594
28.5 Estado del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
28.6 Gráficos de seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
28.7 Firewall Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
28,8 Traf fi c gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
28.9 Sistema de Actividad (Arriba) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
28.10 PFINFO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
28.11 SMART del disco duro de estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
28.12 cationes fi SMTP y Growl Noti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
28.13 Visualización del contenido de las Tablas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
28.14 Pruebas de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
28.15 Prueba de un puerto TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616

29 Paquetes 619
29.1 Instalación de Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
29.2 reinstalar y actualizar paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
29.3 Paquetes de desinstalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
29.4 Paquetes en desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
29.5 Una breve introducción a proxies web y presentación de informes: calamar, SquidGuard y Lightsquid . . . . . . . 621
29.6 Introducción a los Paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625

Software de Terceros y 30 pfSense 627

30.1 autenticación RADIUS con Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
30.2 Syslog Server en Windows con Kiwi Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633

vi
 30.3 Uso de Software de Sistema de Puertos de FreeBSD (Paquetes) . . . . . . . . . . . . . . . . . . . . . . . 633
30.4 Con fi gura BIND como un RFC 2136 Servidor DNS dinámico . . . . . . . . . . . . . . . . . . . . . . . . 635

31 de paquetes Capturing 639

31.1 Selección de la interfaz adecuada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
31.2 La limitación de volumen de captura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
31.3 capturas de paquetes desde los WebGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
31.4 Uso de tcpdump desde la línea de comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
31.5 Uso de Wireshark con pfSense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649
31.6 Referencias Adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
31,7 marco de captura de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652

32 Guía de menús 655

32.1 Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
32.2 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
32.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
32.4 Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
32.5 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
32.6 Estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
32.7 Diagnóstico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658

vii
viii
 CAPÍTULO

UNO

PREFACIO

Expresiones de gratitud

Este libro, y la propia pfSense no serían posibles sin un gran equipo de desarrolladores, contribuyentes, porteros SUP- corporativos, y una comunidad
maravillosa. El proyecto ha recibido contribuciones de código de más de 200 personas, con 14 de ellos contribuye considerablemente y de manera rutinaria
suficiente para obtener acceso de envío. Cientos de personas han contribuido fi nanciera con el hardware y otros recursos necesarios. Miles de personas más
han hecho su parte apoyando el proyecto ayudando a otros en la lista de correo, foros, e IRC. Nuestro agradecimiento a todos los que han hecho su parte para
que el proyecto del gran éxito se ha convertido.

pfSense Desarrolladores

El equipo de desarrollo de pfSense activa actual, que se enumeran por orden de antigüedad.

• Co-fundador Chris Buechler

• Bill Marquette

• Holger Bauer

• Erik Kristensen

• Seth Mos

• matthew Grooms

• Renato Botelho

También nos gustaría dar las gracias a todos los desarrolladores de FreeBSD, especí fi camente, los que han ayudado considerablemente con pfSense.

• Max Laier

• Cristiano SJ Peron

• Andrew Thompson

• Bjoern A. Zeeb

Agradecimientos personales

De Chris

Tengo que dar las gracias a mi esposa y el crédito considerable para la realización de este libro y el éxito del proyecto en general. Este libro y el
proyecto han dado lugar a un sinnúmero de días largos, noches, y meses sin descanso de un día, y su apoyo ha sido crucial.

1
El libro pfSense, Liberación

También me gustaría dar las gracias a las muchas empresas que han adquirido nuestro apoyo y suscripciones de revendedor que me permite dar el salto a trabajar a
tiempo completo en el proyecto a principios de 2009.

También debo agradecer a Jim para saltar en este libro y que proporciona una ayuda considerable en la realización de la misma. Ya han pasado dos años en la
fabricación, y mucho más trabajo de lo que había imaginado. Puede haber sido obsoleta antes de que llegara terminado si no fuera por su ayuda en los últimos
meses. Además, gracias a Jeremy Reed, nuestro director y editor, por su ayuda con el libro.

Por último, mi agradecimiento a todos los que han contribuido al proyecto pfSense de cualquier manera, especialmente los desarrolladores que han dado enormes cantidades de

tiempo para el proyecto durante los últimos nueve años.

De Jim

Me gustaría dar las gracias a mi esposa e hijo, que me aguantan lo largo de mi participación en el proceso de escritura no sólo para el primer libro, pero

el segundo también. Sin ellos, habría vuelto loco hace mucho tiempo. También me gustaría dar las gracias a Rick Yaney de HPC Internet, por ser de

apoyo de pfSense, FreeBSD, y el software de código abierto en general.

Toda la comunidad pfSense es merecedor de aún más gracias a su vez, es la mejor y más solidaria grupo de usuarios y colaboradores de
software de código abierto que he encontrado.

Los revisores

Las siguientes personas hicieron comentarios y la penetración muy necesaria para ayudar a mejorar el libro y su exactitud. Listados en orden alfabético
por el apellido.

• Jon Bruce

• mark Foster

• Bryan Irvine

• Warren Midgley

• Eirik Øverby

Realimentación

El editor y autores animan a sus comentarios para este libro y la distribución pfSense. Por favor envíe sus sugerencias, críticas y / o elogios para el
libro al pfSense [email protected] .

Para consultas generales relacionadas con el proyecto pfSense, publica una entrada en la lista de correo o foros. Los enlaces a estos recursos se pueden encontrar en http://pfsense.org/support

Convenciones tipográficas

En todo el libro una serie de convenciones se utilizan para denotar ciertos conceptos, información o acciones. La siguiente lista da ejemplos de
cómo se formatean en el libro.

Las selecciones de menú Las reglas del cortafuegos

Etiquetas de elementos GUI / Nombres Destino

Botones Aplicar cambios

2 Capítulo 1. Prefacio
 El libro pfSense, Liberación

Prompt para entrada Quieres proceder?

Entrada del usuario Descripción de la regla

Los nombres de archivo / boot / loader.conf

Los nombres de los comandos o programas comandos gzip

escritos en el intérprete de comandos :: # ls -l

Los artículos que deben ser reemplazados con los valores especí fi cos a su configuración 192.168.1.1

Notas especiales .. Nota: Tenga cuidado con esto!

líneas literales largas en ejemplos de salida pueden ser divididos con el (hookleftarrow). Largo de la cáscara ejemplos de línea de comandos se pueden dividir

utilizando la barra invertida () como continuación de línea shell. Bienvenido a El libro pfSense, escrito por pfSense co-fundador Chris Buechler y miembro coreteam

Jim Pingle. Este libro abarca desde el proceso de instalación y con fi guración básica de red avanzada y rewalling fi usar este popular de distribución de software del

router de código abierto y fi cortafuegos.

Este libro está diseñado para ser un amable guía paso a paso para tareas de red y de seguridad común junto con una referencia completa de las
capacidades de pfSense. El libro pfSense cubre algunos de los siguientes temas:

• Una introducción a pfSense y sus características.

• Hardware y la planificación del sistema.

• Instalación y actualización de pfSense.

• Mediante la interfaz con fi guración basada en la web.

• Copia de seguridad y restauración.

• fundamentos de cortafuegos, incluyendo la de fi nición y reglas de solución de problemas.

• Traducción de puertos de reenvío y de direcciones de red (NAT).

• establecimiento de una red general y enrutamiento con fi guración.

• Construyendo puentes, redes de área local virtuales (VLAN), y Multi-WAN.

• Redes privadas virtuales utilizando IPsec y OpenVPN.

• Traf fi c conformación y el equilibrio de carga.

• La red inalámbrica y las configuraciones de portal cautivo.

• rewalls fi redundantes y de alta disponibilidad.

• Diversos servicios relacionados con la red.

• Monitorización de la instalación, el registro, análisis de tráfico c, snif fi ng, paquete de captura, y solución de problemas.

• Paquetes de software y las instalaciones y actualizaciones de software de terceros. Al final de este libro, podrás encontrar una Guía de menús con

las opciones de menú estándar disponibles en pfSense.

1.3. Convenciones tipográficas 3

El libro pfSense, Liberación

autores

Chris Buechler

Uno de los fundadores del proyecto pfSense, Chris es también uno de sus promotores más activos. Él ha estado en la indus- tria de TI durante más de una década,
trabajando extensamente con rewalls fi y FreeBSD para la mayor parte de ese tiempo. Él ha proporcionado la seguridad, la red y los servicios relacionados para las
organizaciones en el sector público y privado, que varían en tamaño desde pequeñas organizaciones a las organizaciones del sector público y grandes compañías de
Fortune 500. Posee numerosos certi fi caciones de la industria incluyendo el CISSP, SSCP, MCSE y CCNA entre otros. Su página web personal se puede encontrar en http://chrisbuechler.com
.

Jim Pingle

Jim ha estado trabajando con FreeBSD más de diez años y profesionalmente durante los últimos ocho. Ahora, un empleado de tiempo completo de Netgate , Que
proporciona apoyo global para pfSense suscriptores de apoyo comercial. Como ex administrador del sistema para un ISP local en Bedford, Indiana EE.UU., HPC
Servicios de internet, trabajó con los servidores de FreeBSD, diversos equipos de enrutamiento y circuitos, y, por supuesto, ficción basada en pfSense rewalls
tanto interna como para muchos clientes. Jim se graduó en 2002 con una licenciatura en Sistemas de Información de Indiana-Purdue Fort Wayne. También
contribuye a varios proyectos de código abierto, además de pfSense, más notablemente RoundCube, Webmail, y glTail. Cuando está lejos del equipo, Jim
disfruta pasar tiempo con su familia, la lectura, la toma de fotografías, y de ser un adicto a la televisión. Su página web personal se puede encontrar en http://pingle.org
.

4 Capítulo 1. Prefacio
 CAPÍTULO

DOS

PREFACIO

Mis amigos y compañeros de trabajo saben que construyo rewalls fi. Por lo menos una vez al mes, alguien dice “Mi empresa necesita un cortafuego con X e Y, y las

cotizaciones de precios que he recibido son decenas de miles de dólares. ¿Puede usted ayudarnos?”Cualquiera que construye rewalls fi conoce a esta pregunta podría

formularse de manera más realista como“¿Podría por favor venir una noche y una palmada a algunos equipos para mí, entonces me permitirá interrumpir al azar para los

próximos tres a cinco años para has instalar nuevas características, problemas de depuración, configurar las funciones que no sabían lo suficiente para solicitar, asistir a

reuniones para resolver problemas que no puede ser cuestiones cortafuego pero alguien piensa que podría ser el cortafuego, e identificar soluciones para mis

necesidades desconocidos innumerables ? Ah, y asegúrese de probar cada posible caso de uso antes de implementar cualquier cosa “.

Rechazando estas peticiones me hace parecer grosero. La aceptación de estas solicitudes arruina mi alegre comportamiento. Durante mucho tiempo, no edificar rewalls fi

para nadie, excepto para mi empleador. pfSense me permite ser una persona más agradable sin tener que trabajar realmente en él.

Con pfSense, puedo desplegar un cortafuego en tan sólo un par de horas con la mayor parte de ese tiempo la instalación de cables y explicar la diferencia entre “dentro” y
“fuera”. Extensa comunidad de la documentación y el usuario de pfSense me ofrece una forma sencilla de responder a cualquier pregunta con Simply “qué se mira eso?”. Si
pfSense no admite una característica entonces es probable que no puedo apoyar tampoco. Pero pfSense apoya todo lo que podría pedir - con una interfaz amigable para
arrancar. La amplia base de usuarios significa que las características se prueban en muchos entornos diferentes y, en general simplemente funciona aun cuando interactúan
con PC con Windows ME niños del CEO conectado a Internet mediante Ethernet sobre ATM a través de una paloma mensajera. Lo mejor de todo, pfSense está construida en
gran parte del mismo software que haría uso de mí mismo. Confío en que el sistema operativo FreeBSD subyacente sea seguro, estable, y e fi ciente.

Las actualizaciones de seguridad? Basta con hacer clic en un botón y reiniciar el sistema.

Es necesario nuevas características? Sólo encenderlos. pfSense se encarga de la agrupación, trá fi co conformado, balanceo de carga, la integración con el equipo
existente a través de RADIUS, IPsec, monitoreo, DNS dinámico, y más.

-proveedores de la industria de renombre cobran tarifas exorbitantes para apoyar lo que pfSense ofrece libremente. Si su empleador insiste en pagar por contratos de

soporte, o si simplemente se sienta más seguro sabiendo que puede coger el teléfono y gritar para pedir ayuda, usted puede conseguir acuerdos de apoyo pfSense muy

razonable. Si no es necesario un contrato de soporte, me he enterado de que Chris, Jim, o cualquier otra persona con un poco pfSense cometer permitirá a los usuarios

agradecidos pfSense a comprar una cerveza o seis. En lo personal, no construyo rewalls fi desde cero más. Cuando necesito un cortafuego, yo uso pfSense.

- Michael W. Lucas

5
El libro pfSense, Liberación

6 Capítulo 2. Introducción
 CAPÍTULO

TRES

INTRODUCCIÓN

¿Qué significa para pfSense / media?

El proyecto duró meses sin nombre. De hecho, la cárcel de FreeBSD que corría el servidor CVS fue llamado proyecto X hasta que el proyecto se ha migrado a
git hace varios años.

La localización de un nombre de dominio disponible era el principal di fi cultad. Los fundadores del proyecto, Scott y Chris, corrieron a través de numerosas
posibilidades, finalmente se instaló en pfSense porque el cortafuego haría sentido del paquete de software de fi ltrado utiliza, pf.

¿Por qué FreeBSD?

Hay numerosos factores que fueron objeto de consideración a la hora de elegir un sistema operativo base para el proyecto. Esta sección describe las razones principales para
la selección de FreeBSD.

Soporte inalámbrico

Soporte inalámbrico es una característica crítica para muchos usuarios. En 2004, el apoyo inalámbrico en OpenBSDwas muy limitada en comparación con FreeBSD.
OpenBSD no apoyó los conductores o los protocolos de seguridad y se ofreció ningún plan para su implementación. A día de hoy, FreeBSD supera las capacidades
inalámbricas de OpenBSD.

Rendimiento de la red

rendimiento de la red en FreeBSD es significativamente mejor que la de OpenBSD. Para pequeñas y despliegues de tamaño medio, por regla general, no importa;
escalabilidad superior es la principal preocupación en OpenBSD. Un desarrollador pfSense gestión de varios cientos de rewalls fi OpenBSD utilizando PF se vio
obligado a cambiar sus sistemas de alta carga a PF en FreeBSD para manejar las altas paquetes por segundo tasa requerida por partes de su red. El rendimiento
de la red en OpenBSD ha mejorado desde 2004, pero todavía existen limitaciones.

El soporte multi-procesador para PF en FreeBSD permite una mayor escalabilidad y es utilizado por pfSense como se ve en este análisis rendimiento de
la red: https://github.com/gvnn3/netperf/blob/master/Documentation/netperf.pdf .

La familiaridad y la facilidad de tenedor

El código para m0n0wall se basa en FreeBSD y pfSense fork de m0n0wall. Cambiar el sistema operativo base requeriría prohibitivamente grandes
modificaciones y podría haber introducido limitaciones de otros sistemas operativos, lo que requiere características para ser suprimida o alterada.

7
El libro pfSense, Liberación

Soporte del sistema operativo alternativo

No hay planes de apoyo a cualquier otro sistema operativo de base en este momento.

Los despliegues comunes

pfSense puede satisfacer las necesidades de casi cualquier tipo y tamaño de entorno de red, desde un centro de datos de SOHO ambientes. En esta sección se describen
las implementaciones más comunes.

Firewall perimetral

La implementación más común de pfSense es un cortafuego perimetral. pfSense tiene capacidad para redes que requieren múltiples conexiones a
Internet, múltiples redes LAN, y múltiples redes DMZ. BGP (Border Gateway Protocol), capacidades de redundancia de conexión, y el equilibrio de carga
son con fi gurable también.

Ver también:

Estas funciones avanzadas se describen adicionalmente en enrutamiento y Las conexiones WAN múltiples .

LAN o WAN del router

pfSense con fi gura como un router LAN o WAN y cortafuego perimetral es una implementación común en redes pequeñas. LAN y WAN de enrutamiento son funciones
separadas en redes más grandes.

Router LAN

pfSense es una solución probada para la conexión de varios segmentos de red internos. Esto es más comúnmente desplegado con VLAN con fi gurada con
trunking 802.1Q, que se describe más en LAN virtuales (VLAN) . múltiples interfaces Ethernet también se utilizan en algunos entornos. De alto volumen LAN tráfico
c entornos con menos requisitos de fi ltrado puede necesitar capa 3 conmutadores o routers basados ​en ASIC en su lugar.

router WAN

pfSense es una gran solución para proveedores de servicios de Internet. Ofrece toda la funcionalidad requerida por la mayoría de las redes a un precio mucho más bajo
que otras ofertas comerciales.

Electrodomésticos de propósito especial

pfSense puede ser utilizado para escenarios de implementación menos comunes como un dispositivo autónomo. Los ejemplos incluyen: aparato VPN, aparato Sniffer,
y dispositivo de servidor DHCP.

VPN Appliance

pfSense software instalado como un dispositivo de red privada virtual VPN separada añade capacidades sin interrumpir la infraestructura fi cortafuegos
existente, e incluye múltiples protocolos VPN.

8 Capítulo 3. Introducción
 El libro pfSense, Liberación

Sniffer Appliance

pfSense ofrece una interfaz web para el tcpdump analizador de paquetes. El capturado. gorra los archivos se descargan y se analizaron en Wireshark .

Ver también:

Para obtener más información sobre cómo utilizar las funciones de captura de paquetes de pfSense, véase La captura de paquetes .

DHCP Server Appliance

pfSense se puede implementar estrictamente como un servidor de protocolo de configuración de host de Con fi dinámico, sin embargo, hay limitaciones de la interfaz gráfica de usuario avanzada

para pfSense con fi guración del daemon de DHCP de ISC.

Ver también:

Para obtener más información acerca de con fi gurar el servicio DHCP en pfSense, véase Servidor DHCP IPv4 y IPv6 servidor DHCP del router y Anuncios

Terminología interfaz de nomenclatura

Todas las interfaces en pfSense se pueden asignar cualquier nombre que desee, pero todos ellos comienzan con nombres predeterminados: WAN, LAN y TPO.

PÁLIDO

Corto para Red de área amplia, WAN es la red pública no es de confianza fuera del router. En otras palabras, la interfaz WAN es la conexión del
cortafuego a Internet u otra red de aguas arriba. En una implementación multi-WAN, WAN es la primera o la conexión a Internet primaria.

Como mínimo, el cortafuego debe tener una interfaz, y que es la WAN.

LAN

Corto para Red de área local, LAN es comúnmente el lado privado de un cortafuego. Por lo general utiliza una dirección IP privada
esquema para los clientes locales. En implementaciones pequeñas, en la LAN es la única interfaz interna.

OPTAR

OPTAR o Opcional se refieren a las interfaces de interfaces adicionales distintos de WAN y LAN. OPT las interfaces pueden ser adiciones cionales segmentos de LAN,
conexiones WAN, segmentos de DMZ, interconexiones con otras redes privadas, y así sucesivamente.

DMZ

Abreviatura de la expresión militar zona desmilitarizada, DMZ se refiere a la memoria intermedia entre un área protegida y una zona de guerra. En las redes, es
un área donde los servidores públicos son accesibles desde Internet a través de la WAN, pero aislado de la LAN. El DMZ mantiene los sistemas de otros
segmentos de ser puesto en peligro si se ve comprometida la red, al mismo tiempo proteger hosts en la DMZ de otros segmentos locales y de Internet en
general.

3.4. Terminología interfaz de nomenclatura 9

El libro pfSense, Liberación

Advertencia: Algunas compañías emplean mal el término “zona de distensión” en sus productos fi cortafuego como referencia a 1: 1 NAT en la dirección IP WAN que expone una

serie en la LAN. Para más información, ver 1: 1 NAT en el IP WAN, también conocido como “zona de distensión” en Linksys .

FreeBSD nomenclatura interfaz

El nombre de una interfaz de FreeBSD comienza con el nombre de su controlador de red. Esta es seguida luego por un número a partir de
0 que aumenta de forma incremental en uno por cada interfaz adicional compartiendo ese controlador. Por ejemplo, un conductor común utilizado por la red Gigabit Intel
tarjetas de interfaz es IGB. La primera tarjeta de este tipo en un sistema será igb0, la segunda es igb1,
y así. Otros nombres comunes incluyen controladores CXL ( Chelsio 10G), em ( También Intel 1G), ix ( Intel 10G), BGE ( varios conjuntos de chips Broadcom), entre
muchos otros. Si un sistema se mezcla una tarjeta de Intel y una tarjeta Chelsio, las interfaces serán igb0 y cxl0 respectivamente.

Ver también:

asignación de las interfaces y los nombres están cubiertos aún más en Instalación y actualización .

Búsqueda de información y obtención de ayuda

En esta sección se ofrece orientación sobre hallazgo información de este libro, en pfSense en general, así como proporcionar más recursos.

Encontrando informacion

La función de búsqueda en el libro es la forma más fácil de fi nd información sobre un tema específico. Las características y las implementaciones de pfSense más
comunes se incluyen en este libro. Al leer la versión HTML del libro, la función de búsqueda se encuentra en la parte superior izquierda de la página. Al leer una copia de
estilo de libros electrónicos, consulte la documentación para el software lector de libros para obtener información sobre cómo buscar.

Hay una gran cantidad de experiencias y de información de usuario adicionales disponibles en los diversos sitios web pfsense.org. La mejor manera de buscar en
los sitios es una búsqueda Anexión de Google sitio: pfsense.org a la consulta. Esto buscará la página web, foro, el sitio Redmine, la documentación de libre acceso,
etc., que son todas las fuentes de fi ciales de información.

Obteniendo ayuda

Un icono de ayuda está disponible en casi todas las páginas, , y enlaces a la página asociada en la documentación pfsense.org.

El proyecto pfSense ofrece varias otras maneras de obtener ayuda, incluyendo una foro , documentación de acceso abierto , las listas de distribución y de IRC (Internet
Relay Chat, ## pfSense en irc.freenode.net). El soporte comercial también está disponible en el Portal pfSense . Más información se puede encontrar en el sitio web en
pfSense Apoyo a la obtención de Muchos de estos enlaces son accesibles desde la interfaz web con fi gurator bajo el menú de Ayuda en pfSense.

El proyecto pfSense es un código abierto de distribución gratuita personalizada de FreeBSD adaptado para su uso como un cortafuego y el router totalmente
gestionado por una interfaz web fácil de usar. Esta interfaz web se conoce como el gurator GUI con fi basada en web, o WebGUI para abreviar. No se requieren
conocimientos de FreeBSD para desplegar y utilizar pfSense. De hecho, la mayoría de los usuarios nunca han utilizado FreeBSD fuera del pfSense. Además de ser
una plataforma potente, flexible rewalling fi y enrutamiento, pfSense incluye una larga lista de características relacionadas. El sistema de paquetes pfSense permite
además la capacidad de expansión sin añadir hinchazón y vulnerabilidades de seguridad potenciales para la distribución base. pfSense es un proyecto popular con
millones de descargas desde su creación y cientos de miles de instalaciones activas. Se ha probado con éxito

10 Capítulo 3. Introducción
 El libro pfSense, Liberación

en un sinnúmero de instalaciones que van desde la protección del equipo individual en pequeñas redes domésticas a miles de dispositivos de red en grandes
corporaciones, universidades y otras organizaciones.

Para descargar la versión más reciente, consulte las versiones anteriores, o para actualizar siga las guías situadas en el página cargas pfSense Down- .

proyecto de Inicio

Este proyecto fue fundado en 2004 por Chris Buechler y Scott Ullrich. Chris contribuyó a m0n0wall durante algún tiempo antes y nos pareció que es una gran
solución. Aunque encantados con el proyecto, muchos usuarios deseaban para más capaci- dades que los acomodados por un proyecto enfocado estrictamente
hacia los dispositivos integrados con sus recursos de hardware limitados. Introduzca pfSense. En 2004, hubo numerosas soluciones integradas con 64 MB de
memoria RAM que no podía AC- comodato el conjunto de características deseada de pfSense, por lo tanto pfSense se expandió a trabajar en la PC más capaz y el
tipo de servidor de hardware.

3.6. proyecto de Inicio 11

El libro pfSense, Liberación

12 Capítulo 3. Introducción
 CAPÍTULO

LAS CUATRO

los conceptos de redes

La comprensión de las direcciones IP públicas y privadas

Las direcciones IP privadas

El estándar de red RFC 1918 la define reservados subredes IPv4 para uso exclusivo en las redes privadas (Tabla RFC 1918 Espacio de direcciones IP
privadas ). RFC 4193 de fi ne únicos direcciones locales (ULA) para IPv6 (Tabla RFC 4193 único espacio de direcciones local ). En la mayoría de los
entornos, una subred IP privada de RFC 1918 se elige y se utiliza en todos los dispositivos de la red interna. Los dispositivos se conectan a Internet a
través de un cortafuego o enrutador implementar el software de dirección de red (NAT), como pfSense. IPv6 está totalmente dirigido desde la red interna
sin NAT Direcciones Global Unicast (GUA). NAT se explicará adicionalmente en Traducción de Direcciones de Red .

Tabla 4.1: RFC 1918 espacio de direcciones IP privadas

Rango CIDR Intervalo de direcciones IP

10.0.0.0/8 10.0.0.0 - 10.255.255.255

172.16.0.0/12 172.16.0.0 - 172.31.255.255
192.168.0.0/16 192.168.0.0 - 192.168.255.255 Tabla 4.2: RFC

4193 único espacio de direcciones local

Pre fi x Intervalo de direcciones IP

FC00 :: / 7 FC00 :: - FDFF: ffff: ffff: ffff: ffff: ffff: ffff: ffff

Una lista completa de las redes IPv4 de uso especial se puede encontrar en RFC 3330 . Hay direcciones IPv4 privadas, como 1.0.0.0/8 y 2.0.0.0/8, que ya han
sido asignados a la piscina IPv4 menguante. El uso de estas direcciones son problemáticos y no se recomienda. También, evitar el uso de 169.254.0.0/16, que
de acuerdo con RFC 3927 está reservado para “enlace local” con fi guración automática. No debe ser asignada por DHCP o establecer manualmente y routers
no permitirá que los paquetes de subred para atravesar fuera de un dominio de difusión fi co. Hay espacio de direcciones de su fi ciente a un lado por el RFC
1918, lo que no hay necesidad de desviarse de la lista que se muestra en la tabla RFC 1918 Espacio de direcciones IP privadas . Inadecuada frente dará lugar a
fallo en la red y que debe corregirse.

Las direcciones IP públicas

Con la excepción de las redes más grandes, las direcciones IP públicas son asignadas por los proveedores de servicios de Internet. Redes que requieren cientos
o miles de direcciones IP públicas suelen tener espacio de direcciones asignado directamente desde su Registro Regional de Internet (RIR). Un RIR es una
organización que supervisa la asignación y registro de direcciones IP públicas en unas regiones designadas del mundo.

La mayoría de las conexiones de Internet residenciales se les asigna una única dirección IPv4 pública. La mayoría de las conexiones de clase de negocios se asignan varias

direcciones IP públicas. Una única dirección IP pública es adecuado en muchas circunstancias y se puede utilizar

13
El libro pfSense, Liberación

en conjunción con NAT para conectar cientos de sistemas de direccionamiento privado a Internet. Este libro le ayudará a determinar el número de
direcciones IP públicas requeridas.

La mayoría de las implementaciones IPv6 dar al usuario final al menos un pre x red fi / 64 para su uso como una red interna enrutado. Para cada sitio, esto es más o
menos 2 64 Direcciones IPv6, o 18 trillón direcciones, totalmente enrutan a través de Internet sin necesidad de NAT.

Reservado y direcciones Documentación

Además de los bloques de fi nido en el RFC 1918, RFC 5735 describe los bloques reservados para otros fines especiales, tales como la documentación, las pruebas y la

evaluación comparativa. RFC 6598 actualizaciones RFC 5735 y en el espacio de direcciones de fi ne de Carrier Grade NAT así como. Estas redes especiales incluyen:

Tabla 4.3: RFC 5735 Espacio de direcciones reservados

Rango CIDR Propósito

192.0.2.0/24 Código de documentación y ejemplo
198.51.100.0/24 Documentación y código de ejemplo
203.0.113.0/24 Documentación y código de ejemplo
198.18.0.0/25 dispositivos de red de evaluación comparativa

100.64.0.0/10 Con calidad de operador espacio NAT

A lo largo del libro, utilizamos ejemplos con las direcciones de la documentación anterior varía, así como RFC 1918 redes ya que son más familiar
para los usuarios.

Algunos encontramos estas direcciones tentador utilizar para redes privadas virtuales o incluso redes locales. No se recomienda su uso para otra cosa que sus
fines previstos nada, pero son mucho menos propensos a ser visto “en estado salvaje” que RFC 1918 redes.

Conceptos de subredes IP

Cuando con fi gurar los ajustes de TCP / IP en un dispositivo, una máscara de subred (o pre fi x longitud para IPv6) deben ser especi fi cado. Esta máscara permite al
sistema determinar qué direcciones IP están en la red local y que debe ser alcanzado por una puerta de entrada en la tabla de enrutamiento del sistema. La dirección IP
de la LAN por defecto de 192.168.1.1 con una máscara de 255.255.255.0, o / 24 en notación CIDR tiene una dirección de red 192.168.1.0/24. CIDR se discute en La
comprensión de la máscara de subred CIDR notación .

Dirección IP, subred y Puerta Con fi guración

El TCP / IP con fi guración de un host consta de la dirección, máscara de subred (o pre fi x longitud para IPv6) y puerta de enlace. La dirección IP se combina con la máscara de

subred es como el anfitrión de identi fi ca las direcciones IP que están en su red local. Direcciones fuera de la red local se envían a con fi gurada puerta de enlace

predeterminada del huésped, que se supone va a pasar el trá fi co en el destino deseado. Una excepción a esta regla es una ruta estática que instruye a un router o sistema

para ponerse en contacto con especí fi co subredes no locales accesible a través de routers conectados localmente. Esta lista de pasarelas y rutas estáticas se mantiene en la

tabla de enrutamiento de cada huésped. Para ver la tabla de enrutamiento utilizado por pfSense, véase Visualización de rutas . Más información acerca del enrutamiento se puede

encontrar en enrutamiento .

En una implementación típica pfSense, los anfitriones se les asigna una dirección IP, máscara de subred y la puerta de entrada dentro del rango de LAN del dispositivo

pfSense. La dirección IP de LAN del pfSense se convierte en la puerta de enlace predeterminada. Para los hosts de conexión por una interfaz distinta de LAN, utilice la

configuración con fi apropiado para la interfaz a la que está conectado el dispositivo. Hosts dentro de una única red se comunican directamente entre sí sin la

intervención de la entrada de defecto. Esto significa que ningún cortafuego, incluyendo pfSense, puede controlar la comunicación host-a-host dentro de un segmento de

red.

14 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

Si se requiere esta funcionalidad, los anfitriones necesitan ser segmentado mediante el uso de múltiples conmutadores, VLAN, o emplear la función de interruptor
equivalente como PVLAN. VLAN se cubren en LAN virtuales (VLAN) .

La comprensión de la máscara de subred CIDR notación

pfSense utiliza la notación CIDR (Classless Inter-Domain Routing) en lugar de la subred común máscara 255.xxx cuando con fi gurar direcciones y redes.
Consulte la siguiente tabla CIDR Tabla de Subred : para hallar el CIDR equivalente de una máscara de subred decimal.

Tabla 4.4: Tabla de subred en CIDR

Máscara de subred CIDR Prefijo x IP total Direcciones IP utilizable Direcciones Número de redes / 24
255.255.255.255 / 32 1 1 1 / 256a
255.255.255.254 / 31 2 2* 1 / 128a
255.255.255.252 / 30 4 2 1 / 64a
255.255.255.248 / 29 8 6 1 / 32a
255.255.255.240 / 28 dieciséis 14 1 / 16avo

255.255.255.224 / 27 32 30 1 / octava

255.255.255.192 / 26 64 62 1 / cuarto

255.255.255.128 / 25 128 126 1 medio

255.255.255.0 / 24 256 254 1

255.255.254.0 / 23 512 510 2
255.255.252.0 / 22 1024 1022 4
255.255.248.0 / 21 2048 2046 8
255.255.240.0 / 20 4096 4094 dieciséis

255.255.224.0 / 19 8192 8190 32

255.255.192.0 / 18 16384 16382 64
255.255.128.0 / 17 32.768 32.766 128
255.255.0.0 /dieciséis 65536 65.534 256
255.254.0.0 /15 131.072 131070 512
255.252.0.0 / 14 262.144 262142 1024
255.248.0.0 / 13 524.288 524286 2048
255.240.0.0 / 12 1048576 1048574 4096
255.224.0 0 / 11 2097152 2097150 8192
255.192.0.0 / 10 4194304 4194302 16384
255.128.0.0 /9 8388608 8388606 32.768
255.0.0.0 /8 16777216 16777214 65536
254.0.0.0 /7 33554432 33554430 131.072
252.0.0.0 /6 67108864 67108862 262.144
248.0.0.0 /5 134217728 134217726 1048576
240.0.0.0 /4 268435456 268435454 2097152
224.0.0.0 /3 536870912 536870910 4194304
192.0.0.0 /2 1073741824 1073741822 8388608
128.0.0.0 /1 2147483648 2147483646 16777216
0.0.0.0 /0 4294967296 4294967294 33554432

Nota: El uso de redes / 31 es un caso especial de fi nida por RFC 3021 donde las dos direcciones IP de la subred son utilizables para enlaces punto a punto para conservar
espacio de direcciones IPv4. No todos los sistemas operativos de apoyo RFC 3021 , A fin de utilizarlo con precaución. En los sistemas que no son compatibles RFC 3021 , La
subred no se puede utilizar porque los únicos dos direcciones definido por la máscara de subred de la ruta son nulas y no hay emisión y direcciones de host utilizables.

4.4. La comprensión de la máscara de subred CIDR notación 15

El libro pfSense, Liberación

pfSense 2.3.3-RELEASE apoya el uso de / 31 redes para las interfaces y las direcciones IP virtuales

Entonces, ¿dónde los números CIDR vienen?

El número CIDR viene del número de unos en la máscara de subred cuando se convierte a binario. La máscara de subred 255.255.255.0 común es

11111111.11111111.11111111.00000000 en binario. Esto se suma a las 24 queridos, o / 24 (pronunciado 'slash veinticuatro').

Una máscara de subred de 255.255.255.192 es 11111111.11111111.11111111.11000000 en binario, o 26 queridos, por lo tanto / 26.

Recapitulación CIDR

Además de especificar máscaras de subred, CIDR también se puede emplear para los propósitos de IP o de integración de la red. La columna “Total de
direcciones IP” en CIDR Tabla de Subred indica cuántas direcciones se resume en una máscara CIDR dado. Para propósitos de resumen de red, el
“número de / 24 redes” columna es útil. CIDR resumen se puede utilizar en varias partes de la interfaz web pfSense, incluidas las normas fi cortafuego,
NAT, IPs virtuales, IPsec y rutas estáticas.

direcciones IP o redes que pueden estar contenidos dentro de una sola máscara CIDR se conocen como “summarizable CIDR”. En el diseño de una red,

asegurar que todas las subredes IP privadas en uso en un lugar determinado son CIDR summarizable. Por ejemplo, si se requieren tres / 24 subredes en una

localización, una red / 22 subredes en cuatro / 24 redes debe ser utilizado. La siguiente tabla muestra los cuatro / 24 subredes utilizadas con la subred

10.70.64.0/22.

Tabla 4.5: CIDR sumarización de ruta

10.70.64.0/22 ​divide en / 24 redes

10.70.64.0/24
10.70.65.0/24
10.70.66.0/24
10.70.67.0/24

Esto mantiene el encaminamiento más manejable para redes multi-sitio conectado a otra ubicación física mediante el uso de un circuito WAN privada o VPN.

Con subredes summarizable CIDR, un destino de la ruta cubre todas las redes en cada lugar. Sin ella, hay varias redes diferentes de destino por ubicación.

La tabla anterior se desarrolló utilizando una calculadora de red que se encuentra en el subnetmask.info sitio web. La calculadora convierte de decimal con

puntos para CIDRmask, y viceversa, como se muestra en la figura Máscara de subred convertidor .

Si el CIDR Tabla de Subred proporcionada en este capítulo no está disponible, esta herramienta se puede utilizar para convertir un CIDR pre fi x a salpicado notación decimal.

Introduzca un CIDR pre fi jo o una máscara decimal con puntos y haga clic en el apropiado Calcular botón para hallar la conversión.

Fig. 4.1: Máscara convertidor de subred

Introduzca la máscara decimal con puntos en la sección Red / Calculadora nodo a lo largo con una de las / 24 redes. Hacer clic
Calcular para rellenar las cajas inferior con la zona de cobertura de esa particular / 24 como se ha demostrado en la figura

dieciséis Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

Calculadora de red / nodo . En este ejemplo, la dirección de red es 10.70.64.0/22, y las utilizables / 24 redes son 64 a través de 67. El término “dirección de
Broadcast” en esta tabla se refiere la dirección más alta dentro del rango.

Fig. 4.2: Calculadora de red / nodo

Encontrar un juego de red CIDR

Rangos de IPv4 en el formato de xxxx-aaaa se admiten en Alias. Para los alias de tipo de red, un rango de IPv4 se convierte automáticamente en el
conjunto equivalente de bloques CIDR. Para los alias de tipo host, una serie se convierte en una lista de direcciones IPv4. Ver alias para más información.

Si una coincidencia exacta no es necesario, se pueden introducir números en la calculadora / de nodo de red para aproximar la sumarización deseada.

Los dominios de difusión

Un dominio de difusión es la porción de una red que comparten el mismo segmento de la capa 2. En una red con un solo interruptor sin VLAN, el dominio de
difusión es todo ese interruptor. En una red con varios conmutadores interconectados sin el uso de VLAN, el dominio de difusión incluye todos esos
interruptores. Un único dominio de difusión poder contener más de un buen diseño de red IPv4 o IPv6 subred, sin embargo, que generalmente no se
considera. subredes IP deben ser segregados en dominios de difusión separados mediante el uso de conmutadores o VLANs separadas. La excepción a
esto se está ejecutando tanto las redes IPv4 e IPv6 dentro de un único dominio de difusión. Esto se conoce como doble pila y es una técnica común y útil
mediante IPv4 e IPv6 para la conectividad de los ejércitos. Los dominios de difusión se pueden combinar puenteando dos interfaces de red juntos, pero se
debe tener cuidado para evitar bucles de conmutación en este escenario. También hay algunos proxies para ciertos protocolos que no combinan dominios
de difusión pero producen el mismo efecto neto, como un relé DHCP que retransmite las peticiones DHCP en un dominio de difusión en otra interfaz. Más
información sobre dominios de difusión y cómo combinarlos puede encontrarse en Bridging .

IPv6

Lo esencial

IPv6 permite exponencialmente más espacio de direcciones IP que IPv4. IPv4 utiliza una dirección de 32 bits, lo que permite 2 32 o más de 4 mil millones de
direcciones, menos si se eliminan los bloques reservados considerables e IPs quemadas por subredes. IPv6 utiliza una dirección de 128 bits, que es 2 128 o 3,403 x
10 38 direcciones IP. El tamaño estándar IPv6 subred definida por la IETF es un / 64, que contiene 2 64 IPs, o 18.4 trillón direcciones. Todo el espacio IPv4 puede
encajar dentro de una subred IPv6 típica muchas veces con espacio de sobra.

4.6. Los dominios de difusión 17

El libro pfSense, Liberación

Una de las mejoras más sutiles con IPv6 es que no hay direcciones IP se pierden a subredes. Con IPv4, dos direcciones IP se pierden por subred para dar cuenta de
una dirección IP de ruta y emisión nula. En IPv6, difusión se realiza a través de los mismos mecanismos utilizados para multidifusión implica direcciones especiales
enviados a todo el segmento de red. Las mejoras adicionales incluyen encriptación integrada de paquetes, tamaños de paquetes potenciales más grandes, y otros
elementos de diseño que hacen que sea más fácil para los routers para manejar IPv6 a nivel de paquete.

A diferencia de IPv4, todos los paquetes se encaminan en IPv6 sin NAT. Cada dirección IP es directamente accesible por otro, a menos detenido por un cortafuego. Esto

puede ser un concepto muy dif fi cil de entender para las personas que están acostumbrados a tener existe la LAN con un fi co subred privada específica y luego realizar

NAT para cualquiera que sea la dirección externa pasa a ser. Hay diferencias fundamentales en el funcionamiento de IPv6 en comparación con IPv4, pero la mayoría son

sólo eso: las diferencias. Algunas cosas son más simples que IPv4, otros son un poco más complicado, pero en su mayor parte es simplemente diferente. Las principales

diferencias se producen en la capa 2 (ARP vs. NDP por ejemplo) y la capa 3 (IPv4 vs. direccionamiento IPv6). Los protocolos utilizados en las capas superiores son

idénticos; sólo el mecanismo de transporte para esos protocolos ha cambiado. HTTP es todavía HTTP, SMTP es todavía SMTP, etc.

Cortafuegos y VPN Preocupaciones

IPv6 restaura la verdadera conectividad peer-to-peer originalmente en su lugar con IPv4 haciendo fi adecuada cortafuegos controla aún más importante. En IPv4, NAT fue
mal utilizado como un control adicional fi cortafuegos. En IPv6, NAT se retira. Puerto hacia delante ya no son necesarios en el acceso IPv6 de manera remota será
manejado por reglas fi cortafuego. Se debe tener cuidado para asegurarse de LAN VPN encriptado a LAN trá fi co no se encamina directamente al sitio remoto. Ver IPv6
VPN y reglas del cortafuegos para una discusión más a fondo en IPv6 preocupaciones fi cortafuego con respecto a VPN tráfico c.

requisitos

IPv6 requiere una red IPv6 habilitado. conectividad IPv6 entregado directamente por un ISP es ideal. Algunos ISP implementar una configuración de doble pila con fi
en el que IPv4 e IPv6 se suministran simultáneamente en el mismo transporte. Otros ISP utilizan túneles o de despliegue de IPv6 para proporcionar tipos
indirectamente. También es posible utilizar un proveedor de terceros, tales como
tunnelbroker servicio de Hurricane Electric o SixXS .

Además de los servicios, el software también debe ser compatible con IPv6. pfSense ha sido con capacidad IPv6 desde 2.1-RELEASE. sistemas operativos y aplicaciones

del cliente también debe ser compatible con IPv6. Muchos sistemas operativos comunes y las aplicaciones soportan sin problemas. Microsoft Windows ha apoyado IPv6

en el estado listo para la producción desde el año 2002, aunque las versiones más recientes manejan mucho mejor. OS X ha apoyado IPv6 desde 2001 con la versión

10.1 “PUMA”. Tanto FreeBSD y Linux soportan en el sistema operativo. La mayoría de los navegadores web y clientes de correo soportan IPv6, al igual que las versiones

recientes de otras aplicaciones comunes. Para garantizar la fiabilidad, siempre es beneficioso emplear las últimas actualizaciones. Algunos sistemas operativos móviles

tienen diferentes niveles de soporte para IPv6. Android y el IOS tanto soporte IPv6, pero solo para Android tiene soporte para automóvil sin estado con fi guración para

obtener una dirección IP y no DHCPv6. IPv6 es parte de las especificaciones de LTE por lo que cualquier dispositivo móvil que soporta redes LTE soporta IPv6 también.

Tipos IPv6 WAN

Los detalles se pueden encontrar en Tipos IPv6 WAN , Pero algunas de las formas más comunes de despliegue de IPv6 son:

direccionamiento estático IPv6 nativas y utilizando ya sea por cuenta propia o en una pila dual junto con fi guración
IPv4.

DHCPv6 Dirección obtenida automáticamente por DHCPv6 a un servidor ascendente. Pre fi x delegación podrá también
ser utilizado con DHCPv6 para entregar una subred encaminado a un cliente DHCPv6.

direcciones sin estado con fi guración automática (SLAAC) determina automáticamente la dirección IPv6 por consul-
ing mensajes de anuncio de enrutador y la generación de una dirección IP dentro de un pre fi jo. Esto no es muy

18 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

útil para un router, ya que no hay manera de ruta de una red para el “interior” de la cortafuego. Puede ser útil para los modos de
electrodomésticos.

6RD túnel Un método de tunelización IPv6 tráfico dentro de IPv4 c. Esto es utilizado por los ISP para una rápida IPv6 Desplegar

ción.

6a4 túnel Al igual que en 6RD pero con diferentes mecanismos y limitaciones.

GIF túnel No es técnicamente un tipo de WAN directa, sino que se utiliza comúnmente. Cliente construye un GIF IPv4
túnel a un proveedor de túnel IPv6 tráfico c.

Aunque no es técnicamente un tipo de WAN, la conectividad IPv6 puede estar dispuesto también sobre OpenVPN o IPsec con IKEv2. OpenVPN y IPsec en modo de
IKEv2 pueden llevar IPv4 y IPv6 tráfico c simultáneamente, de modo que pueden ofrecer IPv6 sobre IPv4, aunque con más sobrecarga que un corredor de túnel típico
que utiliza GIF. Estas son buenas opciones para una empresa que tiene IPv6 en un centro de datos principal o fi cina, pero no en una ubicación remota.

Formato de dirección

Una dirección IPv6 consta de 32 dígitos hexadecimales, en 8 secciones de 4 dígitos cada uno, separados por dos puntos. Se ve algo como esto: 1234:
5678: 90ab: cdef: 1234: 5678: 90ab: cdef

Las direcciones IPv6 tienen varios accesos directos que les permiten ser comprimido en cadenas más pequeñas siguiendo ciertas reglas. Si hay algún ceros a la izquierda

en una sección, pueden dejarse fuera. 0001: 0001: 0001: 0001: 0001: 0001: 0001: 0001 podría ser escrito como 1: 1: 1: 1: 1: 1: 1: 1.

Cualquier número de partes de la dirección consta de sólo ceros puede ser comprimido mediante el uso de :: pero esto sólo puede hacerse una vez en una
dirección IPv6 para evitar la ambigüedad. Un buen ejemplo de esto es anfitrión local, comprimiendo
0000: 0000: 0000: 0000: 0000: 0000: 0000: 0001 a :: 1. En cualquier momento :: aparece en una dirección IPv6, los valores ser- Tween son todos ceros. Una
dirección IP como fe80: 1111: 2222: 0000: 0000: 0000: 7777: 8888, puede ser representado como fe80: 1111: 2222 :: 7777: 8888. Sin embargo, fe80: 1111: 0000:
0000: 4444: 0000: 0000: 8888 No se puede reducir el uso de
:: mas de una vez. Sería ser tanto fe80: 1111 :: 4444: 0: 0: 8888 o fe80: 1111: 0: 0: 4444 :: 8888 pero no poder ser
fe80: 1111 :: 4444 :: 8888 porque no hay manera de saber cuántos ceros han sido sustituidos por cualquiera :: operador.

La determinación de un esquema de direcciones IPv6

Debido a la mayor longitud de las direcciones, la gran espacio provisto en incluso un básico / 64 de subred, y la capacidad de utilizar dígitos hexadecimales, hay más
libertad para diseñar las direcciones de red de dispositivos.

En los servidores que utilizan múltiples alias de direcciones IP para los hosts virtuales, cárceles, etc, un esquema de direccionamiento útil es usar la séptima sección de la
dirección IPv6 para denotar el servidor. A continuación, utilice la sección octava de alias IPv6 individuales. todas las IPs de estos grupos en un único host reconocible. Por
ejemplo, el servidor sí mismo sería 2001: db8: 1: 1 :: A: 1, y luego el alias IP primeros serían 2001: db8: 1: 1 :: A: 2, entonces * 2001: db8: 1: 1 :: A: 3, etc. El siguiente servidor
sería * 2001: db8: 1: 1 :: b: 1,
y repite el mismo patrón.

Algunos administradores les gusta divertirse con sus direcciones IPv6 utilizando letras hexadecimales y de números / letras alents valente a hacer que las palabras de sus
direcciones IP. Las listas de palabras hexadecimales en la web se puede utilizar para crear direcciones IP más memorables como 2001: db8: 1: 1 :: muertos: carne de res.

Decimal vs Confusión hexadecimal

Creación de direcciones IPv6 consecutivos con una base hexadecimal puede causar confusión. valores hexadecimales son base 16 a diferencia de los valores
decimales que son la base 10. Por ejemplo, la dirección IPv6 2001: db8: 1: 1 :: 9 es seguido por
2001: db8: 1: 1 :: a, No 2001: db8: 1: 1 :: 10. Al ir a la derecha 2001: db8: 1: 1 :: 10, los valores de FA se ha saltado, dejando un hueco. esquemas de numeración
consecutivas no son necesarios y su uso se deja a la discreción del diseñador de la red. Para algunos, es psicológicamente más fácil de evitar el uso de los
dígitos hexadecimales.

4.7. IPv6 19
El libro pfSense, Liberación

Dado que todas las direcciones IPv4 se pueden expresar en formato IPv6, este problema surgirá cuando se diseña una red de doble pila que mantiene una sección de
la dirección IPv6 lo mismo que su contraparte IPv4.

La división en subredes IPv6

IPv6 subredes es más fácil que IPv4. También es diferente. ¿Quieres dividir o combinar una subred? Todo lo que se necesita es añadir o cortar dígitos y
ajustar la longitud fi x pre por un múltiplo de cuatro. Ya no hay una necesidad de calcular inicio de subred / direcciones finales, direcciones útiles, la ruta nula,
o la dirección de difusión.

IPv4 tenía una máscara de subred (notación quad de puntos) que más tarde fue sustituido por enmascaramiento CIDR. IPv6 no tiene una máscara de subred, sino que lo
llama un pre fi x longitud, a menudo abreviado como “Pre fi x”. Pre fi x longitud y CIDR trabajo enmascaramiento de manera similar; La longitud fi x pre denota el número de
bits de la dirección de fi ne la red en la que existe. Más comúnmente los prefijos utilizados con IPv6 son múltiplos de cuatro, como se ve en la Tabla IPv6 Tabla de Subred , pero
pueden ser cualquier número entre 0 y 128.

El uso de pre fi x longitudes en múltiplos de cuatro hace que sea más fácil para los seres humanos para distinguir subredes IPv6. Todo lo que se requiere para diseñar una subred grande

o más pequeño es ajustar el pre fi jo por múltiplo de cuatro. Para referencia, véase la tabla IPv6 Tabla de Subred

una lista de los posibles direcciones IPv6, así como el número de direcciones IP están contenidas dentro de cada subred.

Tabla 4.6: IPv6 subred Tabla

Pre fi x subred Ejemplo Direcciones IP totales # De / 64 redes

4 x:: 2 124 2 60
8 xx :: 2 120 2 56
12 xxx :: 2 116 2 52
dieciséis xxxx :: 2 112 2 48
20 xxxx: x :: 2 108 2 44
24 xxxx: xx :: 2 104 2 40
28 xxxx: xxx :: 2 100 2 36
32 xxxx: xxxx :: 2 96 4294967296
36 xxxx: xxxx: x :: 2 92 268435456
40 xxxx: xxxx: xx :: 2 88 16777216
44 xxxx: xxxx: xxx :: 2 84 1048576
48 xxxx: xxxx: xxxx :: 2 80 65536
52 xxxx: xxxx: xxxx: x :: 2 76 4096
56 xxxx: xxxx: xxxx: xx :: 2 72 256
60 xxxx: xxxx: xxxx: xxx :: 2 68 dieciséis

64 xxxx: xxxx: xxxx: xxxx :: 2 64 ( 18,446,744,073,709,551,616) 1

68 xxxx: xxxx: xxxx: xxxx: x :: 2 60 ( 1,152,921,504,606,846,976) 0
72 xxxx: xxxx: xxxx: xxxx: xx :: 2 56 ( 72,057,594,037,927,936) 0
76 xxxx: xxxx: xxxx: xxxx: xxx :: 2 52 ( 4,503,599,627,370,496) 0
80 xxxx: xxxx: xxxx: xxxx: xxxx :: 2 48 ( 281,474,976,710,656) 0
84 xxxx: xxxx: xxxx: xxxx: xxxx: x :: 2 44 ( 17,592,186,044,416) 0
88 xxxx: xxxx: xxxx: xxxx: xxxx: xx :: 2 40 ( 1,099,511,627,776) 0
92 xxxx: xxxx: xxxx: xxxx: xxxx: xxx :: 2 36 ( 68719476736) 0
96 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx :: 2 32 ( 4294967296) 0
100 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: x :: 2 28 ( 268435456) 0
104 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx :: 2 24 ( 16.777.216) 0
108 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxx :: 2 20 ( 1.048.576) 0
112 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx :: 2 dieciséis ( 65.536) 0
116 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: x :: 2 12 ( 4096) 0
120 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx :: 2 8 ( 256) 0
Continúa en la siguiente página

20 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

Tabla 4.6 - viene de la página anterior

Pre fi x subred Ejemplo Direcciones IP totales # De / 64 redes

124 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxx :: 2 4 ( dieciséis) 0
128 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xxxx 2 0 ( 1) 0

A / 64 es una subred IPv6 tamaño estándar tal como se define por el IETF. Es subred más pequeña que se utiliza a nivel local si se desea con auto fi gu- ración.

Típicamente, un ISP asigna un / 64 o menor de subred para establecer el servicio en la WAN. Una red adicional se encamina el uso de LAN. El tamaño de la
asignación depende de la ISP, pero no es raro ver a los usuarios finales reciben al menos un / 64 e incluso hasta a un / 48.

Un proveedor de servicios túnel como tunnelbroker.net dirigido por Hurricane Electric destinará a / 48, además de un enrutado / 64 de subred y una interconexión
/ 64.

Asignaciones de mayor que / 64 generalmente adoptan la primera / 64 para LAN y subdividen el resto para requisitos tales como túnel VPN, DMZ, o una red de
invitados.

Las subredes IPv6 especiales

redes de uso especial se reservan en IPv6. Una lista completa de éstos se pueden encontrar en el Artículo de Wikipedia IPv6 . Seis ejemplos de redes IPv6 especiales y
sus direcciones se muestran a continuación en Redes IPv6 especiales y direcciones .

Tabla 4.7: redes IPv6 especiales y direcciones

Red Propósito
2001: db8 :: / 32 Documentación pre fi x, usado para los ejemplos, como las que encontramos en este libro. :: 1

localhost
FC00 :: / 7 Las direcciones únicas locales (ULA) - también conocido como direcciones IPv6 “privado”.

fe80 :: / 10 Enlazar las direcciones locales, válidas sólo dentro de un único dominio de difusión.

2001 :: / 16 Las direcciones únicos globales (GUA) - enrutable direcciones IPv6.

FF00 :: 0/8 Las direcciones de multidifusión

Descubrimiento vecino

IPv4 acoge encontramos uno al otro en un segmento local utilizando mensajes de difusión ARP, pero los hosts IPv6 encontramos entre sí mediante el envío de mensajes Neighbor

Discovery Protocol (NDP). Como ARP, NDP funciona dentro de un dominio de difusión dada de encontrar otros hosts dentro de una subred específica.

Mediante el envío de paquetes especiales ICMPv6 a las direcciones de multidifusión reservados, NDP manejar las tareas de descubrimiento de vecinos, solicitudes de
enrutador, y redirige ruta similar a la de IPv4 ICMP redirige.

pfSense añade automáticamente la normativa de cortafuego en IPv6 habilitadas las interfaces que permiten NDP para funcionar. Todos los vecinos actuales conocidos en IPv6 se ve en la

interfaz gráfica de usuario fi cortafuegos en Diagnóstico> NDP tabla.

anuncios de enrutador

Los enrutadores IPv6 se encuentran a través de sus mensajes de anuncio de enrutador (RA) en lugar de por el DHCP. Se espera que los routers habilitados para IPv6
que apoyan la asignación dinámica de direcciones para anunciarse en la red a todos los clientes y responder a router solicitaciones. Al actuar como un cliente (interfaces
WAN), pfSense acepta RAmessages de enrutadores de aguas arriba. Al actuar como un router, pfSense proporciona mensajes de RA a los clientes en sus redes
internas. Ver Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”) para más detalles.

4.7. IPv6 21
El libro pfSense, Liberación

Asignación de direcciones

direcciones de cliente pueden ser asignados por direccionamiento estático a través de SLAAC ( Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace
DHCPv6”) ), DHCP6 ( IPv6 servidor DHCP del router y Anuncios ), U otros métodos de tunelización, tales como OpenVPN.

DHCP6 Pre fi x Delegación

DHCP6 Pre fi x Delegación ofrece una subred IPv6 encaminado a un cliente DHCP6. Una interfaz de tipo Wan se puede configurar para recibir un pre fi x sobre
DHCP6 ( DHCP6 , Track Interface ). Un enrutador que funciona en el borde de una red grande puede proporcionar pre fi x delegación a otros routers dentro de la
red ( DHCPv6 Pre fi x Delegación ).

IPv6 y NAT

Aunque IPv6 elimina la mayor necesidad de NAT, hay situaciones raras que requieren el uso de NAT con IPv6 como Multi-WAN para IPv6 en redes de
empresas pequeñas o residenciales.

Se ha ido el tipo tradicional de puerto fea traducido NAT (PAT), donde las direcciones internas se convierten utilizando los puertos en una sola dirección IP externa.
Es reemplazado por una traducción de direcciones de red recta llamada Red Pre fi x Traducción (TNP). Este servicio está disponible en pfSense bajo Firewall> NAT sobre
el NPT lengüeta. NPT traduce un pre fi jo a otro. Asi que
2001: db8: 1111: 2222 :: / 64 se traduce a * 2001: db8: 3333: 4444 :: / 64. Aunque los pre fi x cambia, el resto de la dirección será idéntica para un huésped dado en

esa subred. Para más información sobre NPT, consulte IPv6 Red Pre fi x Traducción (TNP) . Hay un mecanismo incorporado en IPv6 para acceder anfitriones IPv4

utilizando una notación dirección especial, como :: ffff: 192.168.1.1.

El comportamiento de estas direcciones puede variar entre sistema operativo y la aplicación y no es fiable.

IPv6 y pfSense

A menos que se indique lo contrario, es seguro asumir que el IPv6 es soportado por pfSense en un área o función determinada. Algunas áreas notables de pfSense

que las no haga soporte IPv6 son: proveedores de portal cautivo y la mayoría de DynDNS.

Nota: En los sistemas actualizados de versiones de pfSense anteriores a 2,1, IPv6 tráfico c es bloqueado por defecto. Para permitir IPv6:

• Navegar a Sistema> Avanzado sobre el Redes lengüeta

• Comprobar Permitir IPv6

• Hacer clic Salvar

Paquetes pfSense

Algunos paquetes son mantenidos por la comunidad, por lo que el soporte de IPv6 varía. En la mayoría de los casos el soporte IPv6 depende de las capacidades del software

subyacente. Es seguro asumir que un paquete no soporta IPv6 a menos que se indique lo contrario. Los paquetes se actualizan periódicamente de modo que lo mejor es poner a

prueba un paquete para determinar si es compatible con IPv6.

Conexión con un túnel de Service Broker

Un lugar que no tiene acceso a la conectividad IPv6 nativa puede obtenerla usando un servicio de proveedor de túneles como
Hurricane Electric o SixXS . Un sitio de núcleo con IPv6 puede ofrecer conectividad IPv6 a un sitio remoto mediante el uso de un túnel VPN o GIF.

22 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

Esta sección proporciona el proceso para conectar pfSense con Hurricane Electric (a menudo abreviado a HE.net o HE) para el tránsito IPv6. Usando HE.net es simple y fácil.
Permite la configuración multi-túnel, cada uno con un transporte / 64 y un enrutado / 64. También se incluye un enrutado / 48 para ser utilizado con uno de los túneles. Es una
gran manera de obtener una gran cantidad de espacio IPv6 encaminado a experimentar y aprender, todo de forma gratuita.

Inscribirse para el servicio

Antes de que un túnel se puede crear, peticiones de eco ICMP se debe permitir a la WAN. Una regla para pasar peticiones de eco ICMP desde una fuente de alguna Es
una buena medida temporal. Una vez que el punto final del túnel para HE.net ha sido elegido, la regla puede ser más específico.

Para empezar a trabajar en HE.net, crea en www.tunnelbroker.net . Los / 64 redes se asignan después de registrarse y seleccionar un servidor regional túnel IPv6. Un
resumen de la configuración del túnel con fi se puede ver en la página web de HE.net como se ve en la figura HE.net Túnel Con fi g Resumen . Contiene información
importante, como el usuario de Identificación del túnel, la dirección IPv4 del servidor ( dirección IP del servidor de túnel), Dirección IPv4 cliente ( la ficción de la dirección
IP externa cortafuegos), la Servidor
y Direcciones IPv6 de cliente ( que representa las direcciones IPv6 dentro del túnel), y el Enrutados equis fi IPv6 Pre.

Fig. 4.3: HE.net Túnel Con fi g Resumen

los Avanzado pestaña en el sitio proveedor de túneles tiene dos opciones adicionales notables: Un deslizador MTU y una clave de actualización para actualizar la dirección de túnel. Si la

WAN utiliza para dar por terminado el túnel GIF es PPPoE u otro tipo de WAN mínima MTU, mueva el control deslizante hacia abajo según sea necesario. Por ejemplo, una MTU más

común para las líneas de PPPoE con un proveedor de túneles sería 1452. Si la WAN tiene una dirección IP dinámica, tenga en cuenta el actualización de la clave para su uso posterior

en esta sección. Una vez que la configuración inicial para el servicio del túnel se ha completado, pfSense con fi gura para utilizar el túnel.

4.7. IPv6 23
El libro pfSense, Liberación

Permitir IPv6 Traf fi c

En las nuevas instalaciones de pfSense después de 2.1, IPv6 trá fi co está permitido por defecto. Si la con fi guración en el cortafuego ha sido actualizado desde versiones
anteriores, a continuación, IPv6 todavía ser bloqueada. Para habilitar IPv6 trá fi co, realice lo siguiente:

• Navegar a Sistema> Avanzado sobre el Redes lengüeta

• Comprobar Permitir IPv6 si no se ha comprobado

• Hacer clic Salvar

Permitir ICMP

Peticiones de eco ICMP deben ser permitidos en la dirección WAN que está terminando el túnel para asegurarse de que está en línea y accesible. Si ICMP está bloqueado, el
proveedor de túneles puede negarse a la configuración del túnel a la dirección IPv4. Editar la regla ICMP hecho anteriormente en esta sección, o crear una nueva regla para
permitir peticiones de eco ICMP. Establecer la dirección IP de origen del
Dirección IPv4 del servidor en el túnel con fi guración como se muestra en la figura Regla Ejemplo ICMP para garantizar la conectividad.

Fig. 4.4: Regla Ejemplo ICMP

Crear y asignar la interfaz GIF

A continuación, crear la interfaz de túnel GIF en pfSense. Complete los campos con la información correspondiente del túnel corredor resumen con
fi guración.

• Navegar a Interfaces> (asignar) sobre el GIF lengüeta.

• Hacer clic Añadir añadir una nueva entrada.

• Selecciona el Interfaz de padres a la WANwhere el túnel termina. Este sería el WANwhich tiene la Dirección del cliente IPv4 en el corredor de
túnel.

• Selecciona el GIF dirección remota en pfSense a la Dirección IPv4 del servidor en el resumen.

• Selecciona el GIF túnel Dirección Local en pfSense a la Cliente de direcciones IPv6 en el resumen.

• Selecciona el GIF túnel dirección remota en pfSense a la Dirección IPv6 del servidor en el resumen, a lo largo de la con fi pre x longitud (típicamente / 64).

• Deja restante opciones en blanco o sin marcar.

• Entrar a Descripción.

• Hacer clic Salvar.

Ver figura Ejemplo GIF túnel .

Si este túnel se está con fi gurado en una WAN con una IP dinámica, consulte La actualización del Punto Final de Túnel para obtener información sobre cómo mantener el

punto final del túnel IP actualiza con HE.net. Una vez que se haya creado el túnel GIF, se debe asignar:

• Navegar a Interfaces> (asignar), Las asignaciones de interfaz lengüeta.

• Seleccione el GIF recién creado en virtud Puertos de red disponibles.

• Hacer clic Añadir para agregarlo como una nueva interfaz.

24 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

Fig. 4.5: Ejemplo GIF túnel

Con fi gura la nueva interfaz OPT

La nueva interfaz es ahora accesible bajo Interfaces> OptX, dónde x depende de la cantidad asignada a la interfaz.

• Navegar a la página nueva fi guración interfaz de aire. ( Interfaces> OptX)

• Comprobar Habilitar interfaz.

• Introduzca un nombre para la interfaz en el Descripción campo, por ejemplo WANv6.

• Salir Con IPv6 Tipo fi guración como Ninguna.

• Hacer clic Salvar

• Hacer clic Aplicar cambios.

Configuración de la puerta de enlace IPv6

Cuando la interfaz está con fi gurado como se indica anteriormente, se añade una puerta de enlace dinámico IPv6 automáticamente, pero todavía no está marcado como predeterminado.

• Navegar a Sistema> Enrutamiento

• Editar la puerta de enlace dinámico IPv6 con el mismo nombre que la WAN IPv6 creado anteriormente.

• Comprobar Puerta de enlace predeterminada.

• Hacer clic Salvar.

• Hacer clic Aplicar cambios.

4.7. IPv6 25
El libro pfSense, Liberación

Fig. 4.6: Ejemplo interfaz de túnel

Fig. 4.7: Ejemplo de túnel de puerta de enlace

26 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

Navegar a Estado> Gateways para ver el estado de puerta de enlace. La puerta de enlace se mostrará como “en línea” si la con fi guración se realiza correctamente, como se ve en la figura Ejemplo

túnel de puerta de enlace de estado .

Fig 4.8:. Ejemplo de túnel de puerta de enlace Status

Configuración de DNS IPv6

Los servidores DNS probables consultas de DNS con la respuesta ya resultados AAAA. Introducción de los servidores DNS suministrados por el servicio de agente de túnel
bajo Sistema> Configuración general es recomendado. Introduzca al menos un servidor DNS IPv6 o utilizar los servidores de DNS públicos IPv6 de Google en 2001: 4860:
4860 :: 8888 y 2001: 4860: 4860 :: 8844. Si la resolución DNS se utiliza en el modo de no reenvío, se hablará con los servidores raíz IPv6 automáticamente una vez que la
conectividad IPv6 es funcional.

Configuración de LAN para IPv6

Una vez que el túnel está con fi gurado y en línea, el propio cortafuego tiene conectividad IPv6. Para asegurar que los clientes pueden acceder a Internet en IPV6, la LAN debe

ser con fi gurada también. Un método consiste en establecer como LAN pila dual IPv4 e IPv6.

• Navegar a Interfaces> LAN

• Seleccionar Con IPv6 Tipo fi guración como IPv6 estática

• Introduzca una dirección IPv6 de la Enrutado / 64 en el corredor de túnel con fi guración con un fi x longitud pre de 64. Por ejemplo, * 2001: db8: 1111:
2222 :: 1 para el IPv6 LAN abordar si el Enrutado / 64 es 2001: db8: 1111: 2222 :: / 64.

• Hacer clic Salvar

• Hacer clic Aplicar cambios

A / 64 desde dentro de la enrutada / 48 es otra opción disponible.

Configuración DHCPv6 y / o router anuncios

Para asignar direcciones IPv6 a los clientes de forma automática, la configuración del router anuncios y / o DHCPv6. Esto se explica en detalle en IPv6 servidor

DHCP del router y Anuncios . Un breve resumen es el siguiente:

• Navegar a Servicios> DHCPv6 servidor / RA

• Comprobar Habilitar

• Introducir un rango de direcciones IP IPv6 dentro de la nueva subred IPv6 de LAN

• Hacer clic Salvar.

• Cambiar a la anuncios de enrutador lengüeta

• Selecciona el Modo a Gestionado ( DHCPv6 solamente) o asistida ( DHCPv6 + SLAAC)

• Hacer clic Salvar.

Los modos se describen con mayor detalle en Anuncios de enrutador (O: “¿Dónde está la opción de puerta de enlace DHCPv6”) .

Para asignar direcciones IPv6 a los sistemas LAN manualmente, utilizar la dirección IPv6 de LAN del cortafuego como puerta de entrada con una correcta adecuación pre fi x longitud,

y recoger direcciones desde dentro de la subred LAN.

4.7. IPv6 27
El libro pfSense, Liberación

Añadir reglas del cortafuegos

Una vez asignadas las direcciones de LAN, añadir reglas fi cortafuego para permitir que el tráfico IPv6 C a fluir.

• Navegar a Firewall> Reglas, LAN lengüeta.

• Compruebe la lista para una regla de IPv6 existentes. Si una regla para pasar IPv6 trá fi co ya existe, entonces no es necesaria ninguna acción adicional.

• Hacer clic Añadir añadir una nueva regla a la parte inferior de la lista

• Selecciona el TCP / IP versión a IPv6

• Entrar en la subred LAN IPv6 como el Fuente

• Elige una Destino de Alguna.

• Hacer clic Salvar

• Hacer clic Aplicar cambios

Para los servidores habilitados para IPv6 en los servicios públicos LANwith, añadir reglas fi cortafuego en la ficha de la IPv6WAN (la interfaz asignado GIF) para permitir IPv6 trá fi co

para llegar a los servidores en los puertos necesarios.

¡Intentalo!

Una vez que las reglas cortafuego están en su lugar, comprobar si hay conectividad IPv6. Un buen sitio para probar con es test-ipv6.com . Se muestra un ejemplo de los resultados de

salida de un éxito con fi guración desde un cliente en LAN aquí figura Resultados de la prueba de IPv6 .

Fig. 4.9: Ensayo de IPv6 Resultados

La actualización del Punto Final de Túnel

Para una dynamicWAN, como DHCP o PPPoE, HE.net todavía se puede utilizar como un corredor de túnel. pfSense incluye un tipo de DynDNS que actualizará la dirección

IP del extremo del túnel siempre que cambie el IP de la interfaz WAN. Si se desea DynDNS, puede ser con fi gurado de la siguiente manera:

• Navegar a Servicios> DynDNS

• Hacer clic Añadir añadir una nueva entrada.

28 Capítulo 4. Conceptos de Redes

 El libro pfSense, Liberación

• Selecciona el Tipo de servicio ser HE.net Tunnelbroker.

• Seleccionar PÁLIDO como el Interfaz de monitor.

• Introducir el Identificación del túnel desde el corredor de túnel con fi guración en el nombre de host campo.

• Introducir el Nombre de usuario para el sitio broker túnel.

• Ingrese la Contraseña o actualización de la clave para el sitio broker túnel en el Contraseña campo.

• Entrar a Descripción.

• Hacer clic Guardar y Fuerza de actualización.

Si y cuando cambia la dirección IP WAN, pfSense se actualizará automáticamente el proveedor de túneles.

El control de Preferencia IPv6 para tráfico c de la fi sí cortafuegos

Por defecto, pfSense preferirá IPv6 cuando se con fi gurado. Si el enrutamiento IPv6 no es funcional, pero el sistema cree que es, pfSense puede fallar para comprobar

actualizaciones o paquetes de descarga correctamente.

Para cambiar este comportamiento, pfSense proporciona un método en la interfaz gráfica de usuario para controlar si los servicios en la fi cortafuegos prefieren IPv4 a través de IPv6:

• Navegar a Sistema> Avanzado sobre el Redes lengüeta

• Comprobar Preferir utilizar IPv4 incluso si IPv6 está disponible

• Hacer clic Salvar

Una vez que los ajustes se han guardado, el fi cortafuegos en sí preferirá IPv4 para la comunicación saliente. En todo el mundo, la disponibilidad de nuevas

direcciones IPv4 está disminuyendo. La cantidad de espacio libre varía según la región, pero algunos ya se han agotado las asignaciones y otras se acerca

rápidamente a sus límites. Al 31 de enero del 2011, IANA asignado la totalidad de su espacio a Registros Regionales de Internet (RIR). A su vez, estas

asignaciones RIR han agotado en algunos lugares como APNIC (Asia / Pacífico), RIPE (Europa), y LACNIC (América Latina y el Caribe) para redes / 8. Aunque

algunas asignaciones más pequeños todavía están disponibles, cada vez es más difícil obtener nuevo espacio de direcciones IPv4 en estas regiones. ARIN

(América del Norte) se agotó en 24 de de septiembre de, el año 2015 .

Para dar cuenta de esto, IPv6 fue creado como un reemplazo para IPv4. Disponible en algunas formas desde la década de 1990, factores como la inercia, la complejidad y el
coste de desarrollo o la compra de routers y software compatibles se ha desacelerado su captación hasta que el los últimos años . Incluso entonces, ha sido bastante lento con
sólo el 8% de los usuarios de Google que tienen la conectividad IPv6, julio de 2015.

Con los años, el soporte para IPv6 en software, sistemas operativos y routers ha mejorado la situación está preparado para mejorar. Todavía le corresponde a los ISP a empezar a

entregar conectividad IPv6 a los usuarios. Es una situación de Catch-22: Los proveedores de contenido son lentos para proporcionar IPv6 porque pocos usuarios lo tienen.

Mientras tanto, los usuarios no tienen porque no hay una gran cantidad de contenido IPv6 e incluso menos contenido disponible sólo a través de IPv6. Los usuarios no saben que

se necesitan para que no exigen el servicio de sus proveedores de Internet.

Algunos proveedores están experimentando con Carrier Grade NAT (CGN) para estirar las redes IPv4 más lejos. CGN coloca sus clientes residenciales IPv4 detrás de
otra capa de protocolos NAT rompiendo además que ya no se ocupan de una capa de NAT. proveedores de datos móviles han estado haciendo esto desde hace
algún tiempo, pero las aplicaciones que se encuentran típicamente en los dispositivos móviles no se ven afectados ya que funcionan como si fueran detrás de un estilo
típico del router NAT SOHO. Mientras que la solución de un problema, crea otros como observa cuando se utiliza como CGN WAN de un cortafuego, cuando la
inmovilización en un PC, o en algunos casos intentan usar una VPN IPsec tradicional sin NAT-T, o PPTP. ISP emplean CGN deben utilizarse sólo si no hay otra
opción.

Hay muchos libros y sitios web disponibles con volúmenes de información en profundidad sobre IPv6. El artículo de Wikipedia sobre IPv6, http://en.wikipedia.org/wiki/IPv6
, Es una gran fuente de información y enlaces a otras fuentes adicionales. Vale la pena utilizar como punto de partida para más información sobre IPv6. También
hay muchos buenos libros sobre IPv6 disponible, pero

4.7. IPv6 29
El libro pfSense, Liberación

tener cuidado de comprar libros con revisiones recientes. Se han producido cambios en el IPv6 especí fi cación en los últimos años y es posible que el
material podría haber cambiado desde la impresión del libro.

Ver también:

Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de julio de 2015 sobre IPv6 Fundamentos

Este libro no es una introducción a las redes pero hay ciertos conceptos de red que necesitan ser abordados. Para los lectores sin conocimientos básicos de redes

fundamental, se sugiere la localización de material introductorio adicional que este capítulo no proporcionará toda la información necesaria de manera adecuada. IPv6

conceptos son introducidos más adelante en este capítulo bajo IPv6 . Para mayor claridad, las direcciones IP tradicionales se conocen como direcciones IPv4. Excepto

cuando se indique lo contrario, la mayoría de las funciones trabajarán con cualquiera de las direcciones IPv4 o IPv6. La dirección IP término general hace referencia a

IPv4 o IPv6.

Breve introducción a las capas del modelo OSI

El modelo OSI tiene un marco de red que consta de siete capas. Estas capas se enumeran en la jerarquía de menor a mayor. Una breve descripción de
cada nivel se describe a continuación. Más información se puede encontrar en muchos textos de redes y en la Wikipedia ( http://en.wikipedia.org/wiki/OSI_model
).

Capa 1 - Física Se refiere a cualquiera de cableado eléctrico u óptico que transporta datos en bruto a todo el mayor
capas.

Capa 2 - Enlace de Datos Típicamente se refiere a Ethernet u otro protocolo similar que se está hablando en la
cable. Este libro a menudo se refiere a la capa 2 en el sentido de los conmutadores Ethernet u otros temas relacionados, tales como direcciones MAC y

ARP.

Capa 3 - Capa de Red Los protocolos utilizados para mover datos a lo largo de una trayectoria desde un huésped a otro, tales

como IPv4, IPv6, enrutamiento, subredes etc.

Capa 4 - Capa de Transporte La transferencia de datos entre los usuarios, por lo general se refiere a TCP o UDP o de otros similares

protocolos.

Capa 5 - Capa de Sesión Gestiona las conexiones y sesiones (típicamente referido como “diálogos”) entre
usuarios, y cómo se conectan y desconectan con gracia.

Capa 6 - Capa de Presentación Maneja cualquier conversión entre formatos de datos requeridos por los usuarios, tales como

diferentes juegos de caracteres, codificaciones, compresión, encriptación, etc.

Capa 7 - Capa de aplicación Interactúa con la aplicación de usuario o software, incluye protocolos familiares
tales como HTTP, SMTP, SIP, etc.

30 Capítulo 4. Conceptos de Redes

 CAPÍTULO

CINCO

HARDWARE

Requisitos mínimos de hardware

Los requisitos mínimos de hardware para pfSense 2.3.3-RELEASE son:

• CPU de 600 MHz o más rápido

• RAM 512 MB o más

• 4 GB o mayores unidades de disco (SSD, HDD, etc)

• Una o más tarjetas de interfaz de red compatibles

• unidad USB de arranque o CD / DVD-ROM para la instalación inicial

Nota: Los requisitos mínimos no son adecuados para todos los entornos; ver Hardware Orientación Dimensionamiento para detalles.

Selección de hardware

El uso de los sistemas operativos de código abierto con el hardware no probado puede crear el hardware / software de conflictos. Sintonización de hardware y solución de problemas ofrece

consejos sobre cómo resolver diversas cuestiones.

La prevención de dolores de cabeza de hardware

Uso O fi cial pfSense hardware

Es muy recomendable el uso de hardware o fi cial de la pfSense tienda . Nuestro hardware ha sido desarrollado para asegurar a la comunidad que especí fi c
plataformas de hardware han sido probado y validado a fondo.

Buscar las experiencias de los demás

Las experiencias de otros son una valiosa fuente de conocimiento que se puede encontrar mediante la investigación de pfSense y compatibilidad hard- ware en

línea, especialmente en el Foro pfSense . Los informes de fallos no necesariamente deben considerarse de fi nitiva, porque los problemas pueden surgir de una

serie de cuestiones que no sean incompatibilidad de hardware. Si el hardware en cuestión es de un fabricante importante, una búsqueda en Internet por marca,

modelo y
sitio: pfsense.org buscará en la página web pfSense.org para experiencias de usuario pertinentes. En busca de la marca, el modelo, y pfSense quepan experiencias de
los usuarios nd en otros sitios web o los archivos de la lista de correo. La repetición de la misma búsqueda con FreeBSD en lugar de pfSense También se puede llegar
a experiencias útiles.

31
El libro pfSense, Liberación

Convenciones de nombres

A lo largo de este libro nos referimos a la arquitectura de hardware de 64 bits como “amd64”, la designación arquitectura utilizada por FreeBSD. Intel ha adoptado la
arquitectura creada por AMD para x86-64, así el nombre amd64 se refiere a todas las CPU de 64 bits x86.

El cortafuego-SG 1000 se basa en la arquitectura ARMv6, pero ya que la SG-1000 es actualmente el único dispositivo de ARM compatible con pfSense, nos
referiremos a SG-1000 por su nombre en lugar de utilizar un tipo ARM genérico o el nombre de la arquitectura.

Hardware Orientación Dimensionamiento

Al dimensionar el hardware de pfSense, se requiere el rendimiento y características necesarias son los factores principales que rigen la selección de hardware.

Consideraciones de rendimiento

Los requisitos mínimos son suficientes si se requiere menos de 100 Mbps de rendimiento sin cifrar. Para conocer los requisitos de rendimiento mayores, siga

estas pautas en base a extensas pruebas y experiencias de implementación. El hardware se hace referencia en esta sección está disponible en el pfSense tienda .

Las especificaciones generales del hardware se pueden encontrar en la Tabla pfSense hardware .

Tabla 5.1: pfSense hardware

Modelo UPC Reloj núcleos de memoria RAM NIC velocidad

SG-1000 TI ARM Cortex-A8 AM3352 600 MHz 1 512 MB 2x1G
SG-2220 Intel Atom C2338 Rangeley 1,7 GHz 2 2 GB 2x1G
SG-2440 Intel Atom C2358 Rangeley 1,7 GHz 2 4GB 2x1G
SG-4860 Intel Atom C2558 Rangeley 2.4 GHz 4 8 GB 6x1G
SG-8860 Intel Atom C2758 Rangeley 2.4 GHz 8 8 GB 6x1G
XG-2758 Intel Atom C2758 Rangeley 2.4 GHz 8 16 GB 2x10G, 4x1G
C2758 Intel Atom C2758 Rangeley 2.4 GHz 8 8 GB 4x1G + 2x10G
XG-1540 Intel Xeon-DE D-1541 2.0 GHz 8 16-32 GB 2x10G, 2x1G

La mesa Rendimiento máximo en que la CPU 1400 - Byte paquetes compara el rendimiento entre varios modelos de hardware. La tabla contiene datos de
paquetes por segundo (PPS) y el rendimiento en Mbit / s para TCP y UDP. Un tamaño de paquete de 1.400 bytes se utilizó para esta prueba.

Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.

32 Capítulo 5. Hardware
 El libro pfSense, Liberación

Tabla 5.2: Rendimiento máximo en que la CPU 1400 - Byte Packets

UDP - 1400 Byte paquetes TCP - 1400 Byte paquetes PPS

Modelo
Mbit / s PPS Mbit / s
SG-1000 21300 238 19 290 216
SG-2220 86840 973 87 120 976
SG-2440 87770 983 87 760 983
SG-4860 87770 983 87 760 983
SG-8860 87920 985 87 760 983
XG-2758 875 750 9810 874 110 9790
C2758 877 560 9830 874 330 9790
XG-1540 818 960 9170 815 760 9140

Como se muestra por los resultados anteriores, en este tamaño relativamente grande de paquetes mayoría de los modelos pueden llegar a la velocidad máxima de su tipo de tarjeta de red más

rápida disponible, lo que representa de arriba.

Por el contrario, mira a las mismas estadísticas, pero esta vez utilizando paquetes de 64 bytes, que contienen la carga útil más pequeña posible. Estos se muestran en la
Tabla Throughput máximo por la CPU - 64 Byte paquetes

Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.

Tabla 5.3: Throughput máximo por la CPU - 64 Byte paquetes

UDP - 64 Byte paquetes TCP - 64 Byte paquetes PPS Mbit / s

Modelo
PPS Mbit / s
SG-1000
SG-2220
SG-2440
SG-4860
SG-8860
XG-2758
C2758
XG-1540

Con tamaños de paquetes más pequeños, los paquetes por segundo tasa es generalmente más alta, pero típicamente con un menor rendimiento global. Esto es debido a

que el hardware tiene que trabajar mucho más para mover el mayor volumen de paquetes más pequeños. En las redes reales del trá fi co flujo caerá posiblemente entre

estos tamaños, pero depende por completo sobre el medio ambiente y el tipo de tráfico involucrados c. Mesa 500 000 pps en varios tamaños de cuadro enumera algunos

tamaños de paquete común y el rendimiento alcanzado a una tasa ejemplo de 500.000 paquetes por segundo.

Tabla 5.4: 500.000 pps en Vari Tamaños ous Frame

Rendimiento Tamaño de bastidor en 500 Kpps

64 bytes 244 Mbps
500 bytes 1,87 Gbps
1000 bytes 3.73 Gbps
1500 bytes 5,59 Gbps

diferencia de rendimiento de red de tipo de adaptador

La elección de la NIC tiene un impacto significativo en el rendimiento. , tarjetas baratas de gama baja consumen signi fi cativamente más CPU que las tarjetas de mejor
calidad como Intel. El primer cuello de botella con un rendimiento fi cortafuegos es la CPU. rendimiento

5.3. Hardware Orientación Dimensionamiento 33

El libro pfSense, Liberación

mejora de forma significativa mediante el uso de una tarjeta de red de mejor calidad con una CPU lenta. Por el contrario, el aumento de la velocidad de la CPU no aumentará

proporcionalmente el rendimiento cuando se combina con una baja calidad NIC.

Consideraciones de características

Características, servicios y paquetes habilitados en el cortafuego pueden disminuir el rendimiento potencial total, ya que consumen recursos de hardware que de otro modo
podrían ser utilizados para transferir el tráfico de red fi co. Esto es especialmente cierto para los paquetes que interceptan o inspeccionar red tráfico c, tales como Snort o
Suricata.

La mayoría de las características del sistema de base Do factor de fi cativamente no signi en el hardware de tamaño pero algunos potencialmente pueden tener un impacto considerable en la

utilización del hardware.

Tablas de estado grandes

conexiones de red activas a través del cortafuego se registran en la tabla de estados fi cortafuegos. Cada conexión a través del cortafuego consume dos estados: uno
que entra en el cortafuego y uno dejando el cortafuego. Por ejemplo, si un cortafuego debe manejar 100.000 conexiones de cliente del servidor web simultáneas de la
tabla de estado debe ser capaz de mantener 200.000 estados.

Ver también:

Unidos se retoma en el firewall .

Servidores de seguridad en entornos que requieren un gran número de estados simultáneos deben tener suf RAM fi ciente para contener la tabla de estado. Cada estado tiene

aproximadamente 1 KB de RAM, lo que hace el cálculo de los requisitos de memoria relativamente fácil. Mesa Gran estado de consumo de la tabla de memoria RAM proporciona

una guía para la cantidad de memoria necesaria para los tamaños de la tabla de estado de mayor tamaño. Esto es únicamente la memoria utilizada para el seguimiento del

estado. El sistema operativo en sí mismo, junto con otros servicios requerirá por lo menos 175 a 256 MB de RAM adicional y posiblemente más, dependiendo de las

características utilizadas.

Tabla 5.5: Ampliación de estado de consumo de la tabla de memoria RAM

Unidos Conexiones de RAM necesarios

100.000 50000 ~ 97 MB
500.000 250.000 ~ 488 MB
1.000.000 500.000 ~ 976 MB
3,000,000 1,500,000 ~ 2900 MB
8,000,000 4,000,000 ~ 7800 MB

Es más seguro a sobreestimar los requisitos. Basado en la información anterior, una buena estimación sería que 100.000 estados consumen alrededor de 100 MB
de RAM, o que 1.000.000 estados consumirían aproximadamente 1 GB de RAM.

VPN (todos los tipos)

La pregunta clientes suelen preguntar acerca de las VPN es “¿Cuántas conexiones puede mi mango hardware?” Eso es un factor secundario en la mayoría de las
implementaciones y es de menor consideración. Esa métrica es una reliquia de cómo otros vendedores han licenciado capacidades de VPN en el pasado y no tiene un
equivalente directo especí fi ca en pfSense. La consideración principal en hardware de tamaño para VPN es el rendimiento potencial de la VPN tráfico c.

Cifrar y descifrar el tráfico de red fi co con todos los tipos de VPN es la CPU. pfSense ofrece varias opciones de cifrado para su uso con IPsec. Los diversos
sistemas de cifrado actúan de forma diferente y el rendimiento máximo de un cortafuego es dependiente del sistema de cifrado utilizado y si o no que cifrado
puede ser acelerada por el hardware. aceleradores criptográficos de hardware aumentan en gran medida el máximo rendimiento VPN y eliminar en gran
medida la dife- rencia rendimiento entre sistemas de cifrado aceleradas. Mesa VPN mediante el modelo de hardware, todos los valores son Mbit / s ilustra la
capacidad máxima de hardware diferentes disponibles en la tienda pfSense utilizando IPsec y OpenVPN.

34 Capítulo 5. Hardware
 El libro pfSense, Liberación

Para IPsec, AES-GCM es acelerado por AES-NI y es más rápido no sólo por eso, sino porque también no tante necesaria una algoritmo de autenticación por
separado. IPsec también tiene menos sobrecarga de procesamiento del sistema por paquete operativo de OpenVPN, por lo que por el momento IPsec será casi
siempre más rápido que OpenVPN.

Advertencia: Las cifras a continuación muestra los resultados de las pruebas en curso y no re fl ejan con precisión el rendimiento potencial de cada dispositivo.

Tabla 5.6: VPN mediante el modelo de hardware, todos los valores son Mbit / s

OpenVPN / AES-128 + SHA1 IPsec / IKEv2 + AES-GCM TCP, TCP 64B,

Modelo
1400B TCP, TCP 64B, 1400B
SG-1000 16 17 22 22
SG-2220 64 sesenta y cinco 256 322
SG-2440 64 sesenta y cinco 258 325
SG-4860 72 73 380 418
SG-8860 70 72 386 445
XG-2758 68 68 174 435
C2758 133 143 511 556
XG-1540 164 166 224 780

Donde el alto rendimiento de VPN es un requisito para un cortafuego, la aceleración criptográfica de hardware es de suma importancia para garantizar no sólo la velocidad
de transmisión rápida, pero también menos recursos de la CPU. La reducción de la sobrecarga de la CPU significa la VPN no bajará el rendimiento de otros servicios en el
cortafuego. La corriente mejor aceleración disponible está disponible mediante el uso de una CPU que incluye soporte AES-NI combinado con AES-GCM en IPsec.

paquetes

Ciertos paquetes tienen un fi impacto significativo en los requisitos de hardware, y su uso se deben tener en cuenta al seleccionar el hardware.

Resoplido / Suricata

Bufar y Suricata son paquetes de pfSense para la detección de intrusiones en la red. Dependiendo de su con fi guración, pueden requerir una cantidad significativa de
memoria RAM. 1 GB debe considerarse como un mínimo, pero algunos fi guraciones puede necesitar 2 GB o más.

Suricata es multi-hilo y potencialmente puede tomar ventaja de NetMap para IPS en línea si el hardware de un traductor humano.

Calamar

Squid es un servidor proxy caché de HTTP disponible como un paquete pfSense. El rendimiento del disco I / O es una con- sideración importante para los usuarios de calamar ya que

determina el rendimiento de caché. Por el contrario, la velocidad del disco es en gran medida irrelevante para la mayoría de rewalls fi pfSense ya que la única actividad del disco

significativo es el tiempo de arranque y mejorar el tiempo; que no tiene relevancia para rendimiento de la red u otra operación normal.

Incluso en el caso del calamar cualquier disco duro va a bastar fi cina en entornos pequeños. Para más de 200 implementaciones de usuario, un SSD de alta calidad a partir de un Tier-1 OEM es

una herramienta imprescindible. Un SSD de baja calidad puede no ser capaz de soportar las numerosas escrituras que participan en el mantenimiento de los datos almacenados en caché.

El tamaño de la memoria caché de calamar también es un factor en la cantidad de RAM necesaria para el cortafuego. Calamar consume 14MB madamente aproximado de RAM

por 1 GB de memoria caché en AMD64. A ese ritmo, un caché de 100 GB requeriría 1,4 GB de RAM para la gestión de la caché solo, sin contar otra memoria RAM necesita para

el calamar.

5.3. Hardware Orientación Dimensionamiento 35

El libro pfSense, Liberación

Sintonización de hardware y solución de problemas

El sistema operativo subyacente por debajo de pfSense puede ser fi ne-sintonizado de muchas maneras. Algunos de estos sintonizables están disponibles en pfSense bajo Opciones

avanzadas ( Ver Tab optimizables del sistema ). Otros se describen en la página principal de FreeBSD sintonización (7) .

La instalación por defecto de software de pfSense incluye un conjunto cabal de los valores sintonizados para un buen rendimiento sin ser demasiado agresivo. Hay casos

en que el hardware o los controladores requieren un cambio de valores o fi carga de trabajo de la red específica requiere cambios para funcionar óptimamente. El

hardware se vende en el pfSense tienda se afina aún más ya que tenemos un conocimiento detallado del hardware, eliminando la necesidad de basarse en hipótesis más

generales. Los cambios comunes a lo largo de estas líneas para otros equipos se pueden encontrar en la página de documentación wiki para Tuning y solución de

problemas Tarjetas de Red .

Nota: Cambios a / boot / loader.conf.local requerir un reinicio fi cortafuegos para tener efecto.

mbuf Agotamiento

Un problema común encontrado los usuarios de hardware básico es el agotamiento mbuf. Para más detalles sobre mbufs y monitoreo mbuf uso, consulte Las agrupaciones
mbuf . Si el cortafuego se queda sin mbufs, que puede conducir a una situación de pánico del kernel y reiniciar el sistema bajo ciertas cargas de la red que agota todos los
buffers de memoria de red disponibles. Esto es más común con NIC que utilizan varias colas o se optimizan de otro modo para el rendimiento en el uso de recursos.
Además, aumenta el uso mbuf cuando el cortafuego está utilizando ciertas características tales como limitadores Para aumentar la cantidad de mbufs disponibles, añada lo
siguiente a
/boot/loader.conf.local:

Kern . ipc . NMBCLUSTERS = "1000000"

Además, las tarjetas pueden necesitar otros valores similares plantearon como kern.ipc.nmbjumbop. Además de los gráficos mencionados anteriormente, comprobar la
salida del comando -m netstat para verificar si algunas áreas están a punto de agotarse.

Conde NIC cola

Por motivos de rendimiento de algunos tipos de tarjetas de redes utilizan varias colas para procesar paquetes. En los sistemas multi-núcleo, por lo general un conductor
tendrá que usar una cola por núcleo de CPU. UN pocos casos existir donde esto puede conducir a problemas de estabilidad, que se pueden resolver mediante la
reducción del número de colas utilizados por el NIC. Para reducir el número de colas, especifique el nuevo valor en / boot / loader.conf.local, como:

HW . IGB . num_queues = 1

El nombre de la OID sysctl varía según la tarjeta de red, pero por lo general se encuentra en la salida de sysctl -a, debajo
HW. <drivername>.

Desactivar MSIX

Otro problema común es una NIC no apoyar adecuadamente MSIX a pesar de sus reclamaciones. MSIX se puede desactivar mediante la adición de la siguiente línea a / boot /
loader.conf.local:

HW . pci . enable_msix = 0

La distribución de software pfSense es compatible con la mayoría del hardware soportado por FreeBSD. pfSense versión 2.4 y más tarde es compatible con 64 bits

(amd64, x86-64) de la arquitectura hardware y el cortafuego basado SG-1000 ARM-.

36 Capítulo 5. Hardware
 El libro pfSense, Liberación

pfSense versión 2.3.x y antes era compatible con 32 bits (i386, x86) y 64 bits (amd64, x86-64) hardware arquitectura.

arquitecturas de hardware alternativas tales como ARM (aparte de SG-1000), PowerPC, MIPS, SPARC, etc., no son compatibles en este tiempo.

de compatibilidad de hardware

La mejor manera de asegurar que el hardware es compatible con el software de pfSense es comprar el hardware de la pfSense tienda
que ha sido probado y conocido para trabajar bien con pfSense. El hardware en la tienda se prueba con cada nueva versión del software de pfSense y está afinado
para el rendimiento.

Para las soluciones de fabricación casera, las Notas Hardware FreeBSD es el mejor recurso para determinar la compatibilidad de hardware. pfSense versión
2.3.3-RELEASE se basa en 10.3-RELEASE, hardware tan compatibles se encuentra en el notas de hardware en el sitio web de FreeBSD . Otro buen recurso es la sección
de hardware de la FAQ de FreeBSD .

Adaptadores de red

Una amplia variedad de tarjetas de Ethernet por cable (NIC) están soportados por FreeBSD, y son por lo tanto compatible con pfSense rewalls fi. Sin embargo,
no todos los adaptadores de red son iguales. El hardware puede variar en gran medida de la calidad de un fabricante a otro.

Recomendamos Intel PRO / 1000 de 1 Gb y PRO / 10GbE NIC 10 Gb porque no tienen soporte de controladores sólidos en FreeBSD y que funcionan muy bien. La
mayoría del hardware se vende en el pfSense tienda contiene NIC Intel.

De las varias otras tarjetas PCIe / PCI soportados por FreeBSD, algunos trabajos definir. Otros pueden tener problemas como VLAN no funciona correctamente, no ser

capaz de ajustar la velocidad o dúplex, o el bajo rendimiento. En algunos casos, FreeBSD puede apoyar una tarjeta de red en particular, pero, con implementaciones fi cos

del chipset, la compatibilidad de controladores o puede ser pobre. En caso de duda, buscar la Foro pfSense para las experiencias de otras personas que utilizan el mismo o

similar hardware. Cuando un cortafuego requiere el uso de VLAN, seleccione los adaptadores que soportan el procesamiento de VLAN en el hardware. Esto se discute en LAN

virtuales (VLAN) .

Adaptadores de red USB

No recomendamos el uso de adaptadores de red USB de anymake / modelo debido a su falta de fiabilidad y un rendimiento deficiente.

Los adaptadores inalámbricos

adaptadores inalámbricos compatibles y recomendaciones están cubiertas de Inalámbrico .

5.5. de compatibilidad de hardware 37

El libro pfSense, Liberación

38 Capítulo 5. Hardware
 CAPÍTULO

SEIS

Instalación y actualización

Hardware de la pfSense tienda está pre-cargado con software pfSense. Para volver a instalar el software de pfSense o para instalarlo en otro hardware, descargar una imagen
de instalación como se describe en este capítulo.

Advertencia: Hardware precargado con el software de pfSense de vendedores comerciales que no sean el pfSense tienda
o socios autorizados no deben ser de confianza. Los terceros pueden haber hecho, alteraciones o adiciones no autorizadas desconocidos para el software. La venta
de copias pre-cargado de software de pfSense es una violación de la Instrucciones de uso de marca comercial .

Si el software de pfSense se pre-cargado en el hardware de terceros por un proveedor, limpie el sistema y volver a instalarlo con una copia original.

Si algo va mal durante el proceso de instalación, consulte Solución de problemas de instalación . En este capítulo también cubre las instalaciones de software

actualización pfSense ( Actualización de una instalación existente ) Que les mantiene al día con lo último en seguridad, equis fallo fi, y nuevas características.

Medios descarga de instalación

Los clientes que han comprado rewalls Fi de la pfSense tienda pueden descargar imágenes de instalación ajustada de fábrica de su cuenta en el Portal pfSense .

los Documentación Netgate El sitio contiene instrucciones especí fi cas para cada modelo, a fin de comprobar que el sitio primero antes de descargar imágenes

en base a la información de este capítulo. Para el hardware de la tienda de pfSense que ya no tiene soporte, o de otro hardware, seguir leyendo.

• Navegar a www.pfsense.org en un navegador web en un PC cliente.

• Hacer clic Descargas.

• Seleccione un Tipo de archivo de Instalar.

• Seleccione una Arquitectura:

AMD64 (64-bit) Para 64-bit x86-64 hardware de Intel o AMD.

Netgate IDA Para la mayoría de la serie SG fi rewalls de la pfSense tienda , Específicamente, los modelos que contienen un puerto USB de la
consola en COM2.

• Seleccione un Plataforma para una instalación de 64 bits:

Memstick USB Installer Una imagen de disco que puede escribirse en una memoria USB (memory stick)
y arrancado en el hardware de destino para la instalación.

Imagen de CD (ISO) Instalador Para instalar desde medios ópticos o para su uso con IPMI o hipervisores cuales
puede arrancar desde imágenes ISO.

• Seleccione un Consola para Memstick USB Installer imágenes:

39
El libro pfSense, Liberación

VGA Se instala utilizando un monitor y un teclado conectado al hardware de destino.

De serie Se instala utilizando una consola serie en COM1 del hardware de destino. Esta opción requiere un examen físico

puerto de la consola.

• Seleccione un Espejo que está cerca de la PC del cliente geográficamente.

• Hacer clic Descargar.

• Copiar la suma SHA-256 mostrada por la página para verificar la descarga más tarde.

Nota: Para ver una lista de todos los archivos en el espejo, no se ha seleccionado ninguna opción de los menús desplegables a excepción de un espejo continuación, haga clic Descargar.

Propina: Para versiones anteriores de software de pfSense, mira en el Archivo de software

Los nombres fi l de pfSense versión de software 2.3.3-RELEASE son:

Memstick USB Installer (Netgate ADI) pfSense-CE-memory stick-ADI-2.3.3-Release- <arch> .img.gz

Memstick USB Installer (VGA) pfSense-CE-memory stick-2.3.3-Release- <arch> .img.gz

Memstick instalador USB (Serie) pfSense-CE-memory stick-serie-2.3.3-Release- <arch> .img.gz

ISO instalador Imagen pfSense-CE-2.3.3-Release- <arch> .iso.gz

Ver también:

En cualquier punto de la instalación si algo no sale como se describe, cheque Solución de problemas de instalación .

Verificación de la integridad de la descarga

La integridad de la imagen del instalador puede ser veri fi cado mediante la comparación de un valor hash calculado de la fi l descargado contra un control calculado por el proyecto

cuando el pfSense archivos fueron creados originalmente. Los valores hash actuales proporcionados por el uso de proyectos SHA-256 .

La suma SHA-256 que aparece en la página de descarga es la mejor fuente, ya que no se sale el mismo directorio que las imágenes de descarga. A fi l que contiene la
suma SHA-256 también está disponible en los espejos con el mismo nombre de archivo fi la imagen del instalador elegido como, pero que termina en. sha256.

Utilice el acompañamiento suma SHA-256 del sitio de descargas o. sha256 fi l para verificar que la descarga se ha realizado con éxito y es una de la liberación o fi
cial de software de pfSense.

Advertencia: Las sumas SHA-256 se calculan en contra de las versiones comprimidas de la descargados fi les. Comparar el hash antes de descomprimir el
archivo.

Hash veri fi cación en Windows

Los usuarios de Windows pueden instalar HashTab o un programa similar para ver SHA-256 hash para cualquier dado fi l. El hash SHA-256 generada puede ser

comparada con la suma SHA-256 del sitio de descargas o el contenido de la. sha256 fi l del servidor de descarga. Los . sha256 fi l se puede ver en cualquier editor de

texto sin formato como Bloc de notas. Con HashTab instalado, para comprobar el hash de un expediente:

• Haga clic derecho sobre el archivo descargado fi l.

• Haga clic en el hash de archivo lengüeta. HashTab tomará unos momentos para calcular el hash.

40 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

• Pase el ratón sobre el hash SHA-256 para ver el hash completo.

• Pegar la suma SHA-256 del sitio de descargas o desde el. sha256 fi l en el La comparación de hash caja para comprobar automáticamente si coincide
con el hash.

• Hacer clic Cancelar para desestimar el expediente propiedades de diálogo sin hacer cambios. Si un hash

SHA-256 no se muestra en HashTab:

• Haga clic en Configuración

• Marque la casilla SHA-256

• Haga clic en Aceptar

Hash veri fi cación en BSD y Linux

los sha256 comando viene de serie en FreeBSD y muchos otros sistemas operativos UNIX y UNIX. Un hash SHA-256 puede ser generada
mediante la ejecución del siguiente comando desde el directorio que contiene el Down- cargado fi le:

# sha256 pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img.gz

Comparar el hash resultante con la suma SHA-256 que aparece en el sitio de descarga o el contenido de la. sha256 fi l descargado desde el sitio web de pfSense.
sistemas GNU o Linux proporcionan una sha256sum comando que funciona de manera similar.

Hash veri fi cación en OS X

OS X también incluye la sha256 mando, igual que FreeBSD, pero también hay disponibles aplicaciones GUI como QuickHash . HashTab También está
disponible para OS X.

Preparar el medio de instalación

La imagen de instalación descargado en el apartado anterior debe primero ser transferida a los medios de comunicación adecuado. Los archivos que no se pueden copiar a los medios de

comunicación directamente, sino que deben escribirse usando las herramientas apropiadas.

La principal diferencia entre la imagen ISO memory stick USB y está en cómo las imágenes se graban en un disco de instalación. Ambos tipos de imágenes instalan
software pfSense a un disco de destino. Otra diferencia entre los tipos de consola para las diferentes imágenes memory stick USB. Después de la instalación, cada
uno de ellos conservan sus ajustes de la consola apropiadas.

Nota: Si el hardware de destino no tiene una unidad óptica y no puede arrancar desde USB, instale el software en el disco de destino con un conjunto
diferente de hardware. Ver Técnicas de instalación alternativos para más información.

Descomprimir el medio de instalación

La imagen del disco de instalación se comprime cuando se descargan a ahorrar ancho de banda y almacenamiento. Descomprimir el expediente antes de escribir

esta imagen a un disco de instalación. Los . gz extensión en la fi le indica que el expediente está comprimido con gzip. La imagen puede ser descomprimido en

Windows utilizando 7-Zip O en BSD / Linux / Mac con el gunzip o gzip -d comandos.

6.2. Preparar el medio de instalación 41

El libro pfSense, Liberación

Escribiendo el medio de instalación

Creación de un disco de instalación requiere un procedimiento diferente dependiendo del tipo de medio. Siga las instrucciones en la sección apropiada para el
tipo de soporte elegido.

Preparar un memory stick USB

Advertencia: Tenga mucho cuidado al escribir las imágenes de disco! Si el PC cliente contiene otras unidades de disco duro, es posible seleccionar la unidad incorrecta y
sobrescribir una parte de esa unidad con el disco de instalación. Esto hace que el disco completamente ilegible, excepto para ciertos programas de recuperación de
disco, en todo caso.

Conectar el memory stick USB a la estación de trabajo

Comience por conectar el memory stick USB a la estación de trabajo que contiene la imagen en los medios de instalación. Busque el nombre del dispositivo que el sistema

cliente designa para la unidad. El dispositivo varía según la plataforma, aquí hay algunos ejemplos:

• Linux: / dev / sdX dónde x es una letra minúscula. Busque los mensajes sobre la unidad de fijación en el sistema de archivos de registro o ejecutando dmesg.

• FreeBSD: / dev / Dax dónde x es un dígito decimal. Busque los mensajes sobre la unidad de fijación en el sistema de archivos de registro o ejecutando dmesg.

• Ventanas: la unidad será nombrado después de una sola letra mayúscula, por ejemplo, RE. Utilice el Explorador o examinar el panel de control del sistema y mirar los
discos disponibles para uno que coincida con la unidad.

• En Mac OS X: / dev / diskX dónde x es un dígito decimal. correr lista diskutil desde un símbolo del sistema o utilizar la herramienta de interfaz gráfica de usuario Utilidad de Discos.

Nota: En Mac OS X, si el disco se llama diskX entonces el dispositivo para pasar a la utilidad de la escritura es en realidad
rdiskX lo que es necesidad más rápidamente para este tipo de operaciones de bajo nivel.

Nota: También asegúrese de que el nombre del dispositivo se refiere propio dispositivo en lugar de una partición en el dispositivo. Por ejemplo,
/ Dev / sdb1 en Linux es la primera partición fi en el disco, por lo que estaría escribiendo a una partición en el dispositivo y la unidad no puede llegar a ser de arranque. En
ese caso, el uso / dev / sdb en su lugar por lo que la utilidad de imagen de disco escribe a todo el disco.

Limpieza de la memory stick USB

Este paso es opcional a menos que la imagen no se pueda escribir en el memory stick USB.

La unidad de destino ya contenga las particiones que pueden impedir que se escriban correctamente por las herramientas de imagen de disco. Para obtener un nuevo
comienzo, borrar todas las particiones del disco. Esto se puede hacer de diferentes maneras en Windows o en UNIX.

ventanas los Gestión de discos interfaz de Windows es una manera de eliminar las particiones de un disco, pero a menudo se ha desactivado la operación.
El método más simple y más fiable es la utilización diskpart.

• Iniciar un símbolo del sistema ( cmd.exe) como administrador

• Correr diskpart

• Entrar list disk para mostrar los discos conectados al PC cliente

42 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

• Busque el memory stick USB de destino en la lista y observe su número de disco

• Entrar select disk n dónde norte es el número de disco de la memory stick USB de destino de la lista en la salida del comando anterior

• Entrar limpiar para eliminar las particiones del disco

• Entrar salida para detener diskpart y volver a la línea de comandos

• Entrar salida de nuevo para cerrar la ventana de comandos

Linux, FreeBSD, Mac OS X los dd comando es la forma más fácil de borrar la tabla de particiones del USBmemstick en UNIX y sistemas
operativos tipo Unix como Linux, FreeBSD y OS X.

$ Sudo dd if = / dev / zero of = memstick_disk_path bs = 1M count = 1 Reemplazar memstick_disk_path con la ruta de acceso al dispositivo de disco

memstick, por ejemplo / dev / sdb, / dev / DA1, o

/ Dev / rdisk3.

Escribir la imagen

Ahora es el momento de escribir la imagen en la memory stick USB. El procedimiento exacto varía según el sistema operativo.

Nota: Las siguientes instrucciones asumen la imagen fi medio de instalación le ha descomprimido por una primera utilidad fi apropiado. Para más detalles, véase Descomprimir
el medio de instalación .

Advertencia: Las operaciones de esta sección se sobreponen por completo cualquier contenido existente en el USB memory stick! Compruebe el memory stick USB primero para cualquier

archivos para guardar o copia de seguridad.

Linux, FreeBSD, Mac OS X En Linux, FreeBSD y Mac OS X, escribir la imagen en la unidad mediante el dd Mand com-. Se necesita esta forma general:

dd if = image_file_name de = usb_disk_device_name

Escribir en el disco de esta manera por lo general requiere privilegios elevados, por lo que el usuario escribir la imagen lo más probable es que tenga que utilizar sudo para ejecutar

el comando. Ejemplo dd comandos de escritura de disco:

• Linux:

sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / sdb bs = 4M

• FreeBSD:

sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / da1 bs = 4m

• Mac OS X:

sudo dd if = pfSense-CE-memstick-ADI-2.3.3-RELEASE-amd64.img of = / dev / rdisk3 bs = 4m

los bs = X parámetro es opcional y le dice dd para realizar lecturas y escrituras en 4 bloques MB de datos a la vez. El tamaño de bloque predeterminado utilizado por dd es de 512 bytes.

Especificación de un tamaño de bloque más grande puede forma significativa generando aumentan la velocidad de escritura.

ventanas Con el fin de grabar una imagen en una unidad de una estación de trabajo Windows, utilice una herramienta de interfaz gráfica de usuario, tales como Win32 disco Imager o Rufus .

La misma Linux dd comandos mencionados anteriormente también se puede utilizar dentro de Cygwin si el símbolo del sistema Cygwin se lanza como un usuario de nivel de administrador.

6.2. Preparar el medio de instalación 43

El libro pfSense, Liberación

Win32 disco Imager

• Descargar e instalar Win32 disco Imager

• Comience Win32 disco Imager como Administrador

• Haga clic en el icono de la carpeta

• Vaya a la ubicación de la imagen en los medios de instalación descomprimida

• Seleccione la imagen

• Elija el destino USB memory stick coche de la Dispositivo desplegable

• Hacer clic Escribir

• Esperar a que la imagen de la escritura fi nal

Rufus

• Descargar e instalar Rufus

• Comience como Rufus Administrador

• Elija el destino USB memory stick coche de la Dispositivo desplegable

• Seleccionar DD imagen Del desplegable junto a Crear disco de arranque usando

• Haga clic en el icono del CD-ROM junto a Crear disco de arranque usando

• Vaya a la ubicación de la imagen en los medios de instalación descomprimida

• Seleccione la imagen

• Hacer clic comienzo

• Esperar a que la imagen de la escritura fi nal

Solución de problemas

Si la escritura del disco falla, sobre todo en Windows, limpiar el memory stick USB como se sugiere en Limpieza de la memory stick USB
vuelva a intentarlo. Si el error persiste, pruebe con un memory stick USB diferente.

Preparar un CD / DVD

Para usar una imagen ISO fi l con una unidad de disco óptico, la imagen ISO se debe grabar en un disco CD o DVD de software de escritura apropiada.

Dado que la imagen ISO es una imagen del disco completo, debe ser quemado apropiadamente para una imagen fi les no como un CD de datos que contiene el único ISO fi l. La quema de los

procedimientos varían según el sistema operativo y el software disponible.

La quema en Windows

Windows 7 y más adelante incluyen la capacidad de grabar imágenes ISO de forma nativa sin necesidad de software adicional. Además de eso, prácticamente todas las principales

paquete de software de grabación de CD para Windows incluye la posibilidad de grabar imágenes ISO. Consulte la docu- mentación para el programa de grabación de CD. Una

búsqueda en Google con el nombre del software de grabación y grabar iso También ayuda a localizar las instrucciones.

44 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

La quema con Windows Para grabar una imagen de disco de forma nativa en Windows 7 o posterior:

• Abra Windows Explorer y busque la imagen ISO descomprimida fi l

• Haga clic derecho en la imagen ISO fi l

• Hacer clic Grabar una imagen de disco

• Seleccione la apropiada grabadora de discos unidad en la lista desplegable

• Inserte un CD o DVD

• Hacer clic Quemar

Las versiones posteriores tales como Windows 10 también muestran una Herramientas de imagen de disco pestaña en la cinta cuando una imagen ISO es seleccionado en el Explorador de

Windows. Que tiene una pestaña Quemar icono que también invoca la misma interfaz de grabación de discos.

La quema con Nero Para grabar una imagen ISO con Nero:

• Abra Windows Explorer y busque la imagen ISO descomprimida fi l

• Haga clic derecho en la imagen ISO fi l

• Hacer clic Abrir con

• Seleccionar Nerón

• Siga las indicaciones que aparecen en Nero para grabar el disco

La primera vez se utiliza Nero, puede ser necesario seleccionarlo en la Elegir programa predeterminado lista. Este proceso puede trabajar con otro software de
grabación de CD comercial también.

Ardiendo con ISORecorder Si el PC cliente nos usingWindows XP, 2003 o Vista, la libre disposición ISORecorder
herramienta puede escribir imágenes ISO en un disco.

• Descargar e instalar la versión adecuada de ISO Recorder

• Vaya a la carpeta en la unidad que contiene la imagen ISO descomprimida fi l

• Haga clic derecho en la imagen ISO fi l

• Hacer clic Copia de la imagen en un CD

Otro Software Libre Burning Otras opciones gratuitas para los usuarios de Windows incluyen CDBurnerXP , InfraRecorder y
ImgBurn . Antes de descargar e instalar cualquier programa, comprobar su lista de características para asegurarse de que es capaz de grabar una imagen ISO.

Ardor en Linux

distribuciones de Linux como Ubuntu típicamente incluyen una aplicación de grabación de CD de interfaz gráfica de usuario que puede manejar imágenes ISO. Si una aplicación de

grabación de CD está integrado con el gestor de ventanas, pruebe uno de los siguientes:

• Haz clic derecho en la imagen de la ISO descomprimida fi l

• Escoger Abrir con

• Escoger escritor de imagen de disco

O:

• Haz clic derecho en la imagen de la ISO descomprimida fi l

6.2. Preparar el medio de instalación 45

El libro pfSense, Liberación

• Escoger Escribe disco para

Otras aplicaciones populares incluyen K3B y Brasero Disc Burner.

Si una aplicación gráfica quema no está disponible, puede ser posible grabar desde la línea de comandos. En primer lugar, determinar el dispositivo de

grabación SCSI ID / LUN (número de unidad lógica) con el siguiente comando:

$ Cdrecord --scanbus scsibus6:

6,0,0 600) 'TSSTcorp' 'CDDVDW SE-S084C' 'TU00' CD-ROM extraíble

Tenga en cuenta la identificación SCSI / LUN es 6,0,0 en este ejemplo. Grabar la imagen como en el siguiente ejemplo, reemplazando < Máxima velocidad> con la velocidad del

quemador (por ejemplo, 24) y

<Lun> con el ID de SCSI / LUN de la grabadora:

$ Sudo cdrecord --dev = <lun> --speed = <velocidad máxima> pfSense-CE-2.3.3-RELEASE-amd64.iso

Ardor en FreeBSD

FreeBSD puede usar el mismo cdrecord Opciones como Linux anteriores mediante la instalación de sysutils / cdrtools desde los puertos o paquetes, y también se pueden
utilizar las aplicaciones GUI como K3B o Brasero Disc Burner si están instalados en los puertos.

Ver también:

Para obtener más información sobre la creación de CD en FreeBSD, consulte la entrada de grabación de CD en el Manual de FreeBSD .

Verificación de la Disco

Después de escribir el disco, verifique que se quemó correctamente mirando el archivos en el disco. Más de 20 carpetas deben ser visibles, incluyendo bin, bota, cf,
conf, y más. Si sólo hay un gran ISO fi l es visible, el disco no se ha grabado correctamente. Repita los pasos enumerados anteriormente ardientes y asegúrese de
quemar la ISO fi l de una imagen de CD y no como fi datos le.

Conectarse a la consola

Una conexión a la consola en el hardware de destino es un requisito para ejecutar el instalador. Para el hardware con una consola VGA, esto es tan simple como

conectar un monitor y un teclado. Para el hardware de una consola serie, el proceso es más complicado y requiere un PC cliente con un puerto apropiado y

software de terminal. Siga las siguientes instrucciones para conectarse a través de una consola serie.

Conexión a una consola serie

Las instrucciones de esta sección cubren temas generales de la consola serie. Algunos dispositivos, como rewalls Fi de la pfSense tienda , Requieren métodos
ligeramente diferentes para conectarse a la consola serie. Para los dispositivos de la pfSense tienda , visita el
Documentación Netgate para fi instrucciones de la consola en serie-modelo específico.

Requisitos de serie de la consola

Conexión a una consola de serie en la mayoría de rewalls Fi requiere el hardware correcto en cada parte del enlace, incluyendo:

• El PC cliente debe tener un puerto serie físico o un adaptador USB-a-Serial

46 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

• El cortafuego debe tener un puerto serie físico

• UN módem nulo por cable y / o adaptador de serie Para la mayor parte de la fi rewalls adquirir en la pfSense tienda , El único requisito de hardware es un
cable USB A a mini-B. Ver Documentación Netgate para especi fi cs.

Además de la conexión de hardware adecuado, un programa cliente de consola de serie también debe estar disponible en el PC cliente, y la velocidad de serie y otros
ajustes debe estar disponible.

Conectar un cable serie

Primero un módem nulo cable serial se debe conectar entre el cortafuego y un PC cliente. Dependiendo del puerto y el cable serie ocupados, un cable serie cambiador de

género También puede ser necesario para que coincida con los puertos disponibles. Si un cable serie de módem nulo verdadera no está disponible, un adaptador de módem

nulo se puede utilizar para convertir un cable serie estándar en un cable de módem nulo.

Si el PC cliente no tiene un puerto serie físico, utilice un adaptador de USB a serie.

Localizar el puerto serie del cliente

En el PC cliente, el nombre del dispositivo de puerto serie debe ser determinada para que el software cliente se puede utilizar en el puerto correcto.

ventanas

En los clientes de Windows, un puerto serie físico es típicamente COM1. Con un adaptador de USB a serie, puede ser COM3. Abierto
Administrador de dispositivos en Windows y ampliar Puertos (COM y LPT) de encontrar la asignación de puerto.

Mac OS X

En Mac OS X, el nombre puede ser difícil para un usuario determinar ya que varía en función del nombre del controlador y el tipo. Algunos ejemplos
comunes incluyen / dev / cu.SLAB_USBtoUART y / dev / cu.usbserial- <modelo>.

Linux

El dispositivo asociado con un adaptador de USB a serie es probable que aparezca como / dev / ttyUSB0. Busque los mensajes sobre el dispositivo de fijación en el
sistema de archivos de registro o ejecutando dmesg.

Nota: Si el dispositivo no aparece en / dev /, comprobar para ver si el dispositivo requiere controladores adicionales.

FreeBSD

El dispositivo asociado con un adaptador de USB a serie es probable que aparezca como / dev / cuaU0. Busque los mensajes sobre el dispositivo de fijación en el sistema de
archivos de registro o ejecutando dmesg.

6.3. Conectarse a la consola 47

El libro pfSense, Liberación

Determinación de la configuración de la consola serie

Los ajustes para el puerto serie, incluyendo la velocidad, deben ser conocidos antes de que un cliente puede conectarse con éxito a una consola serie.

Se utiliza Cualquiera que sea el cliente serie, asegúrese de que está configurado para la velocidad adecuada (115200), los bits de datos (8), paridad (n), y los bits de parada (1). Esto normalmente

se escribe como 115200/8 / N / 1.

Nota: Algunos valores por defecto de hardware a una velocidad más lenta. Motores de PC ALIX defecto a 38400/8 / N / 1 y por defecto de hardware Soekris a 19200/8 /
N / 1. Esto es relevante para la BIOS y la salida inicial, no pfSense que por defecto es 115200.

Se requiere que muchos clientes en serie por defecto 9600/8 / N / 1, por lo que estos ajustes para conectarse. Utilizar 115200/8 / N / 1 con pfSense independientemente de la

configuración del hardware / BIOS.

Para el hardware utilizando velocidades de serie del BIOS que no sea 115.200, cambiar la velocidad en baudios a 115200 en la configuración del BIOS para que el BIOS y pfSense son ambos

accesibles con la misma configuración. Consulte el manual de hardware para obtener información sobre la configuración de la velocidad de transmisión.

115200 es la velocidad por defecto pfSense utiliza fuera de la caja, pero la velocidad de serie utilizado por pfSense se puede cambiar más adelante. Ver

Serie velocidad de la consola .

Localizar un cliente de serie

Un programa cliente de serie debe ser utilizado en el PC cliente. El cliente más popular para Windows es Masilla , Que es gratuito y funciona bien. Masilla También está
disponible para Linux y se puede instalar en OS X usando cerveza. En los sistemas operativos UNIX y tipo UNIX, la pantalla programa es fácilmente disponibles o se
instala fácilmente y también puede ser utilizado para conectar a los puertos serie desde una consola programa o sistema de terminales.

ventanas

Masilla es la libre elección más popular para la comunicación en serie en Windows. SecureCRT es otro cliente que funciona bien.

Advertencia: No utilizar Hyperterminal. Incluso si ya está presente en el PC cliente, es poco fiable y propenso a dar formato incorrectamente y la pérdida
de datos.

Mac OS X

En los clientes de Mac OS X, GNU pantalla utilidad es la opción más fácil y más común. ZTerm y Cu (similares a FreeBSD) se pueden utilizar también.

Linux

En los clientes Linux, GNU pantalla utilidad es la opción más fácil y más común. Programas como masilla,
minicom, o Dterm se puede utilizar también.

FreeBSD

En los clientes de FreeBSD, GNU pantalla utilidad es la opción más fácil y más común.

48 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

Como alternativa, utilice el programa incorporado propina. Mecanografía com1 punta ( O inclinar ucom1 si se utiliza un adaptador de serie USB) se conectará al puerto serie
primero. Desconectar escribiendo ~. al comienzo de una línea.

Iniciar un cliente de serie

Ahora que todos los requisitos se han cumplido, es el momento de ejecutar el cliente de serie.

Si el software de cliente no está cubierto en esta sección, consulte la documentación para determinar cómo hacer una conexión en serie.

Masilla

• Inicio PuTTY

• Seleccionar De serie para el Tipo de conección

• Introduzca el nombre del dispositivo de puerto serie Línea de serie, p.ej COM3 o / dev / ttyUSB0.

• Introduzca la adecuada Velocidad, p.ej 115200

• Hacer clic Abierto

pantalla de GNU

• Abrir una terminal / comando

• invocar la pantalla de comandos utilizando la ruta al puerto serie, por ejemplo:

$ Sudo pantalla / dev / ttyUSB0 115200

En algunos casos puede haber una codificación desajuste terminal. Si esto ocurre, ejecute pantalla en el modo UTF-8:

sudo pantalla -U $ /dev/cu.SLAB_USBtoUART 115200

Realizar la instalación

Esta sección describe el proceso de instalación de software pfSense a una unidad de destino, tal como un SSD o HDD. En pocas palabras, esto implica el arranque
desde la memory stick de instalación o CD / DVD y luego de completar el programa de instalación.

Nota: Si el instalador detecta un error al intentar arrancar o instalar desde el medio de instalación, consulte Solución de problemas de instalación .

Los siguientes artículos son los requisitos para ejecutar el instalador:

• Medios descarga de instalación

• Preparar el medio de instalación

• Conectarse a la consola

6.4. Realizar la instalación 49

El libro pfSense, Liberación

Arrancar el medio de instalación

Para instalaciones USBmemstick, inserte el poder USBmemstick y luego en el sistema de destino. El BIOS puede requerir el disco para ser insertado antes del
arranque del hardware.

Para las instalaciones de CD / DVD, el poder en el hardware y luego coloque el CD en una unidad óptica. pfSense comenzará a

arrancar y pondrá en marcha automáticamente el instalador.

Especificando el orden de arranque en la BIOS

Si el sistema de destino no arranca desde el memory stick USB o un CD, la razón más probable es que el dispositivo dado no se encontró lo suficientemente temprano en la lista de

medios de arranque en la BIOS. Muchas placas base más recientes apoyan un menú de inicio para una sola vez invocado presionando una tecla durante la POST, comúnmente Esc o

F12.

De no ser así, cambiar el orden de arranque en la BIOS. En primer lugar, encienda el hardware y entrar en la configuración del BIOS. La opción de orden de inicio se encuentra

normalmente bajo una Bota o prioridad de arranque dirigía, pero podría estar en cualquier lugar. Si el apoyo para el arranque desde una unidad USB o óptica no está permitido, o tiene

una prioridad menor que el arranque desde un disco duro con otro sistema operativo, el hardware no va a arrancar desde el soporte de instalación. Consultar el manual de la placa para

obtener información más detallada sobre la alteración del orden de arranque.

Instalación de la unidad de disco duro

Para memsticks USB con una conexión de consola serie, el primer indicador de fi le pedirá el tipo de terminal que se utilizará para el instalador. Para la pantalla de la masilla o
GNU, xterm es el mejor tipo para su uso. Los siguientes tipos de terminales pueden ser utilizados:

ANSI terminal de Genérico con código de colores

VT100 Terminal genérica sin color, la opción más básica / compatibles, seleccionar si no hay otros trabajan

xterm X ventana de terminal. Compatible con la mayoría de los clientes modernos (por ejemplo, la masilla, pantalla)

cons25w FreeBSD terminal de consola al estilo de las consolas VGA, cons25w

se asume por el instalador.

Nota: Para aceptar todos los valores predeterminados y utilizar una instalación típica, pulse Entrar en cada pregunta hasta que los acabados instalador fi.

Una vez que el instalador pone en marcha, la navegación por sus pantallas es bastante intuitiva y funciona de la siguiente manera:

• Para seleccionar elementos, utilice las teclas de flecha para mover el foco de selección hasta que se resalte el elemento deseado.

• Para pantallas de instalación que contiene una lista, utilice el arriba y abajo las teclas de flecha para resaltar las entradas en la lista. Utilizar el

izquierda y derecho las teclas de flecha para resaltar las acciones en la parte inferior de la pantalla, como Seleccionar y Cancelar.

• Prensado Entrar selecciona una opción y activa la acción asociada con esa opción.

Inicio del instalador

En primer lugar, la instalación ofrece la oportunidad para poner en marcha el Instalar proceso o una Shell rescate. Para continuar con la instalación, pulse Entrar mientras

Instalar se selecciona. los Shell rescate opción inicia un intérprete de comandos básicos que los usuarios avanzados pueden realizar tareas para preparar el sistema de manera no totalmente

soportados por el instalador, o para realizar pruebas de diagnóstico o reparaciones en el cortafuego. los Selección de configuración de teclado la pantalla es el siguiente. Para la mayoría de los

usuarios con un teclado estándar de PC, pulse Entrar para seleccionar

Continuar con el mapa de teclado por defecto. Si el teclado se utiliza para la consola tiene un diseño diferente, encontramos que en la lista y seleccione en su lugar.

50 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

Selección partición / sistema de archivos

los particionamiento paso selecciona el sistema de ficheros fi de disco de destino del cortafuego. En pfSense 2.3.x y antes, la única opción era UFS. El nuevo ZFS Tipo de fi sistema

de ficheros es más fiable y tiene más características que el formato UFS mayores, sin embargo ZFS puede ser una memoria de hambre. De cualquier sistema de ficheros fi va a

funcionar en el hardware con varios GB de RAM, pero si el uso de RAM es crítica para otras tareas que se ejecutarán en este fi cortafuegos, UFS es una opción más

conservadora. Para el hardware que requiere UEFI, utilizar ZFS.

El proceso varía ligeramente dependiendo del tipo de sistema de ficheros fi seleccionado, así que siga la siguiente sección que coincide con el tipo fi sistema de archivos usado por este fi

cortafuegos.

Nota: Si el instalador no puede hallar cualquier unidad, o si muestra unidades incorrectas, es posible que la unidad deseada está conectado a un controlador no soportado o un
controlador de conjunto para un modo no soportado en el BIOS. Ver Solución de problemas de instalación

en busca de ayuda.

UFS

• Seleccionar Auto (UFS)

• Seleccione el disco de destino donde el instalador escribirá el software pfSense, por ejemplo, ada0. El instalador mostrará cada disco duro
apoyado unido al cortafuego, junto con los volúmenes RAID o gmirror compatibles.

• Seleccionar disco entero

• Seleccionar Sí a con fi rmar que el instalador puede sobrescribir el disco entero

• Seleccione el esquema de partición a utilizar para el disco:

GPT La disposición de la tabla de particiones GUID. Utilizado por la mayoría de los sistemas x86 modernos. pueden no funcionar en

más viejos versiones de hardware / BIOS. Prueba este primer método. BSD Las etiquetas BSD sin un MBR, que solía ser conocido como “el

modo peligrosamente dedicado”. Esta

método debería funcionar en la mayoría de hardware que no puede usar GPT. Este fue el método utilizado por las versiones anteriores de software de

pfSense.

MBR Seleccione esta opción sólo si GPT y BSD no funcionan en un pedazo específico de hardware.

Otros Las otras opciones no son relevantes para el hardware que es capaz de ejecutar software de pfSense.

• Seleccionar Terminar para aceptar la distribución de la partición automática elegido por el instalador.

Nota: Los tamaños de las particiones y como se puede personalizar aquí, pero no recomendamos tomar ese paso. Para casi todas las instalaciones, los tamaños
predeterminados son correctos y óptima.

• Seleccionar Cometer para escribir la distribución de la partición del disco de destino.

• Avance a la Continuar con la instalación .

ZFS

• Seleccionar Auto (ZFS)

• Seleccionar Tipo de piscina / discos

- Selecciona el Virtual Tipo de dispositivo. ZFS es compatible con múltiples discos de varias maneras para obtener redundancia y / o una capacidad extra. Aunque el

uso de varios discos con ZFS es RAID por software, que es bastante fiable y mejor que el uso de un solo disco.

6.4. Realizar la instalación 51

El libro pfSense, Liberación

raya Un solo disco, o varios discos suman para hacer un disco más grande. Para rewalls fi
con un único disco de destino, esta es la opción correcta. ( RAID 0)

espejo Dos o más discos que contienen todos el mismo contenido para la redundancia. Puede mantener operativo
Incluso si un disco muere. (RAID 1)

RAID10 RAID 1 + 0, nx espejos de 2 vías. Una combinación de rayas y de espejos, lo que da redun-
Dancy y la capacidad adicional. Puede perder un disco de cualquier par en cualquier momento.

raidzX Simple, doble, triple o RAID redundante. Utiliza 1, 2 ó 3 discos de paridad con una piscina
para dar una capacidad extra y la redundancia, por lo que ya sea uno, dos, o tres discos pueden fallar antes de que se vea
comprometida una piscina. Aunque similar a RAID 5 y 6, el diseño RAIDZ tiene diferencias significativas.

- Seleccione los discos para usar con el seleccionado Virtual Tipo de dispositivo. Utilizar el arriba y abajo las teclas de flecha para resaltar un disco y Espacio para

seleccionar los discos. Seleccionar un disco, incluso si sólo hay uno en la lista. Para los espejos o los tipos de RAID, seleccione suficientes discos para cumplir llenar

los requisitos para el tipo elegido.

- Seleccione OK con el izquierda y derecho teclas de flecha.

- Elegir un suplente Esquema de partición sólo si el defecto, GPT (BIOS) no funcionará. Las opciones posibles son:

GPT (BIOS) La disposición de la tabla de particiones GUID y el arranque de BIOS. Utilizado por la mayoría x86 moderna

Los sistemas. Prueba este primer método. GPT (UEFI) GPT

con el cargador de arranque UEFI.

GPT (BIOS + UEFI) GPT con la BIOS y el arranque UEFI.

MBR (BIOS) Heredados particiones MBR estilo con el arranque de BIOS.

GPT + Activo (BIOS) GPT con la rodaja de arranque ajustado activo, con el arranque de BIOS.

GPT + Lenovo Fix (BIOS) GPT con una Lenovo-específico de arranque fi x.

- Cambiar el tamaño de intercambio por defecto (opcional) seleccionando Tamaño de intercambio y luego introduciendo un nuevo valor. Normalmente, el tamaño óptimo es 2

veces la memoria RAM disponible en el cortafuego, pero con discos más pequeños que pueden ser demasiado.

- Deje las otras opciones en la pantalla a sus valores por defecto.

- Mover la selección de nuevo a Instalar y garantizar Seleccionar se pone de relieve por la acción en la parte inferior de la pantalla.

- prensa Entrar continuar

• Seleccionar Sí para confirmar la selección del disco de destino, y para reconocer que el contenido del disco (s) objetivo serán destruidos.

• Avance a la Continuar con la instalación .

Continuar con la instalación

• Sentarse, esperar, y tienen unos sorbos de café mientras el proceso de instalación formatea la unidad (s) y copias pfSense archivos en el disco (s) objetivo.

• Seleccionar No cuando se le solicite para hacer final modificaciones.

• Seleccionar Reiniciar para reiniciar el cortafuego

• Retire el soporte de instalación del cortafuego durante el reinicio, cuando el hardware está iniciando una copia de seguridad, pero antes de que se inicie desde el
disco.

Felicidades, la instalación del software pfSense es completa!

52 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

asignar Interfaces

Después de que el instalador haya finalizado y se reinicia cortafuegos fi, fi el software cortafuegos busca interfaces de red e intenta adjudicar asignaciones de interfaz
automáticamente.

La asignación automática interfaz pro fi les utilizado por el cortafuego son:

RCC-VE 4860/8860 WAN: igb1, LAN: igb0

RCC-VE 2220/2440 WAN: igb0, LAN: igb1

APU WAN: re1, LAN: RE2

Otros dispositivos Para otros dispositivos del cortafuego busca interfaces comunes e intenta asignarlas
apropiadamente, por ejemplo: WAN: igb0, LAN: igb1 WAN: em0, LAN: em1 WAN: re1, LAN: re2 La fábrica fi rmware para dispositivos de la

pfSense tienda incluye asignaciones predeterminadas adicionales adecuadas para el hardware, que varía dependiendo de la hardware ordenado

con el dispositivo.

Si el cortafuego no puede determinar automáticamente la disposición de interfaz de red, presentará un símbolo para la asignación de interfaz como en la figura Asignación
de interfaz de pantalla . Aquí es donde las tarjetas de red instaladas en el cortafuego se dan sus papeles como WAN, LAN y las interfaces opcionales (OPT1,
OPT2 ... OPtn).

Fig. 6.1: pantalla de asignación de interfaz

La fi cortafuegos muestra una lista de las interfaces de red detectadas y sus direcciones MAC (Media Access Control), junto con una indicación de su estado
de enlace si eso es soportado por la tarjeta de red. El estado de enlace se denota por ( arriba)
aparece después de la dirección MAC si se detecta un enlace en esa interfaz.

6.5. asignar Interfaces 53

El libro pfSense, Liberación

Nota: La dirección de control de acceso al medio (MAC) de una tarjeta de red es una única er identificado asignado a cada tarjeta, y no hay dos tarjetas de red debería tener
la misma dirección MAC. Si una dirección MAC duplicada está presente en una red, ya sea por casualidad o por intencional ng spoo fi, todos los nodos con fl contradictorios
se experimentan problemas de conectividad.

Después de imprimir la lista de interfaces de red, el cortafuego solicita VLAN con fi guración. Si se desean VLAN, respuesta
Y, de otro modo, el tipo de norte, entonces presione Entrar.

Ver también:

Para obtener información acerca de con fi gurar las VLAN, consulte LAN virtuales (VLAN) .

El cortafuego se solicita ajustar la interfaz WAN primera. A medida que el cortafuego típicamente contiene más de una tarjeta de red, un dilema puede presentarse a sí

misma: ¿Cómo decir qué tarjeta de red es cuál? Si la identidad de cada tarjeta ya se conoce, introduzca los nombres de los dispositivos adecuados para cada interfaz. Si

la diferencia entre las tarjetas de red es desconocida, la forma más fácil cifra a cabo es utilizar la función de detección automática. Para la asignación automática de

interfaz, siga este procedimiento:

• Desconecte todos los cables de la red del cortafuego

• Tipo un y pulse Entrar

• Conectar un cable de red en la interfaz WAN del cortafuego

• Espere unos minutos para que el cortafuego para detectar el evento de enlace de hasta

• prensa Entrar

Si todo va bien, el cortafuego puede determinar qué interfaz usar para la WAN.

Repita el mismo proceso para la LAN y las interfaces opcionales, si alguno fuera necesario. Si el cortafuego imprime un mensaje que indica “No se detectó enlace de arriba”,

véase La asignación manual de Interfaces para más información sobre la clasificación de las identidades de tarjetas de red.

Una vez que la lista de interfaces para el cortafuego es correcta, pulse Entrar en el indicador para las interfaces adicionales. El cortafuego le preguntará ¿Desea continuar
(y | n)? Si la lista de asignación de interfaz de red es correcta, el tipo y entonces presione Entrar.
Si la asignación es incorrecta, el tipo norte y pulse Entrar repetir el proceso de asignación.

Nota: Además del modo normal de enrutamiento / fi cortafuegos con múltiples interfaces, un cortafuego también se puede ejecutar en Modo aparato donde tiene sólo una
única interfaz ( PÁLIDO). El cortafuego coloca la regla anti-bloqueo de interfaz gráfica de usuario en la interfaz WAN por lo que un cliente puede acceder a la interfaz web fi
cortafuegos de esa red. Las funciones de enrutamiento y NAT habituales no son activos en este modo puesto que no hay interfaz interna o de la red. Este tipo de con fi
guración es útil para dispositivos VPN, servidores DHCP y otras funciones independientes.

La asignación manual de Interfaces

Si la función de detección automática no funciona, todavía hay esperanza de decir la diferencia entre las tarjetas de red antes de la instalación. Una forma es mediante
la dirección MAC, la que imprime el fi cortafuego junto a los nombres de interfaz en la pantalla de asignación:

vmx0 00: 0C: 29: 50: a4: 04

vmx1 00: 0C: 29: 50: ec: 2f

La dirección MAC a veces se imprime en una etiqueta en algún lugar físicamente en la tarjeta de red. Para los sistemas izadas virtual-, la máquina
virtual con fi guración por lo general contiene la dirección MAC para cada tarjeta de red. Las direcciones MAC son asignadas por el fabricante, y hay
varias bases de datos en línea que ofrecen cionalidad de búsqueda inversa para fun- direcciones MAC con el fin de hallar la empresa que hizo la
tarjeta: http://www.8086.net/tools/mac/ ,
http://www.coffer.com/mac_ fi nd / y http://aruljohn.com/mac.pl , Entre muchos otros.

54 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

Tarjetas de red de diferentes marcas, modelos o conjuntos de chips a veces pueden ser detectados con diferentes conductores. Puede ser posible decir una tarjeta
basado en Intel con el IGB conductor, aparte de una tarjeta Broadcom utilizando el bge conductor mirando las tarjetas ellos mismos y la comparación de los nombres
impresos en el circuito.

El orden de sondeo de tarjetas de red puede ser impredecible, dependiendo de cómo está diseñado el hardware. En unos pocos casos, los dispositivos con un gran número

de puertos pueden utilizar diferentes conjuntos de chips que sonda en diferentes maneras, lo que resulta en un orden inesperado. Add-on y tarjetas de red multi-puerto

generalmente se sondearon con el fin de autobuses, pero que puede variar de placa a placa. Si el hardware ha Onboard NIC que son la misma marca que un complemento

NIC, tenga en cuenta que algunos sistemas lista de la primera NIC a bordo, y otros no lo harán. En los casos en que la orden de la sonda hace varias tarjetas de red del

mismo tipo ambigua, puede tardar ensayo y error para determinar las clasificaciones de puertos y controladores combinaciones nombre / número. Después de que las

tarjetas de red han sido identi fi ed, escriba el nombre de cada tarjeta en la pantalla de asignación de interfaz cuando se le solicite. En el ejemplo anterior, vmx0 será WAN y vmx1

será LAN. Asignarles estas funciones, siga este procedimiento:

• Tipo vmx0 y pulse Entrar cuando se le solicite para la dirección WAN

• Tipo vmx1 y pulse Entrar cuando se le solicite para la dirección de LAN

• prensa Entrar de nuevo para detener el proceso de asignación, ya que este ejemplo no contiene ningún interfaces opcionales.

• Tipo y y pulse Entrar para confirmar las asignaciones de interfaz

Técnicas de instalación alternativos

Esta sección describe los métodos alternativos de instalación que pueden ser más fácil para ciertos requisitos de hardware raras.

Instalación con unidad en un equipo diferente

Si es difícil o imposible de arrancar fromUSB o desde una unidad de DVD / CD para el hardware de destino, otro equipo se puede utilizar para instalar el software de

pfSense en el disco duro de destino. La unidad puede entonces ser movido a la máquina original. Después de la instalación, permite la instalación de la máquina para

reiniciar y apagarlo una vez que se vuelve a la pantalla de la BIOS. Quitar el disco duro de la máquina de instalación y colocarlo en el cortafuegos de destino fi. Después

del arranque, el cortafuego le pedirá para la asignación de interfaz y luego el resto de la con fi guración se puede realizar como de costumbre.

Nota: Las versiones actuales de las técnicas de uso de software pfSense como GPT Identificación, UFS Identificación y metadatos ZFS para montar discos, por lo que a pesar de que el
dispositivo pueden aparecer con un controlador de disco diferente en el hardware de destino real, el sistema operativo todavía será capaz de localizar y montar el disco apropiado.

Instalación completa de VMware con la redirección de USB

redirección USB en VMware Player andWorkstation se puede utilizar para instalar en un disco duro. La mayoría de cualquier USB a SATA / IDE o adaptador parecido
funcionará para este propósito. Las siguientes instrucciones son específico a VMware Workstation 12, pero también trabajarán en otras versiones recientes.

• Enchufe la unidad de destino en el adaptador de SATA / IDE o escritor de tarjetas SD / CF

• Conecte el adaptador / escritor en el PC cliente

• Abrir la estación de trabajo de VMware en el PC cliente

• Crear una máquina virtual, que debe tener activado USB (Se está activado por defecto)

• Establecer la máquina virtual para conectar la imagen ISO de instalación en el arranque en su unidad de CD / DVD virtual

6.6. Técnicas de instalación alternativos 55

El libro pfSense, Liberación

• Iniciar la máquina virtual

• prensa Esc durante la pantalla de VM BIOS para cargar el menú de arranque

• Encontrar el icono del adaptador USB en la parte inferior de la ventana de VMware

• Haga clic en el icono del adaptador USB

• Hacer clic Conecta (desconexión del sistema principal)

• Seleccionar Lector de CD ROM desde el menú de inicio

• Continuar a través de la instalación de la misma como una normal, asegurarse de que la unidad correcta se selecciona durante el proceso de instalación

• Apagar la máquina virtual

• Retire el disco de destino desde el PC cliente

• Coloque el disco de destino para el hardware cortafuego previsto

Las versiones anteriores de VMware estación de trabajo puede utilizar la redirección automática USB para lograr el mismo objetivo. Desconecte el dispositivo USB, haga clic dentro de la

máquina virtual para darle el foco, y luego conectar el dispositivo USB. La máquina virtual debe adjuntar a la unidad USB.

Solución de problemas de instalación

La gran mayoría de las veces, las instalaciones se fi nal sin problemas. Si los problemas de pop-up, las siguientes secciones se describen los problemas más
comunes y las medidas para resolverlos.

Arrancar desde el medio de instalación se produce un error

Debido a la amplia variedad de combinaciones de hardware en uso, no es raro que un CD o memory stick para arrancar de forma incorrecta (o en absoluto). Dada la naturaleza
impredecible de soporte de hardware de los productos básicos, el uso de hardware de la pfSense tienda
es la ruta de acceso única garantía de éxito.

Dicho esto, los problemas y soluciones más comunes son:

Soporte USB memory stick Algunas implementaciones de BIOS pueden ser exigente con el apoyo memory stick USB. Si
el arranque desde un palo falla, intente una diferente.

3 puertos USB Ciertas combinaciones de palos y puertos USB, especialmente los puertos USB 3.0, puede no funcionar
correctamente. Pruebe con un memory stick USB 2.0 en un puerto USB 2.0.

problemas de BIOS Actualizar los datos más recientes del BIOS y desactivar todos los dispositivos periféricos que no sean necesarios, tales como Firewire,

Las unidades de disquete y audio.

Unidad óptica sucia Limpiar la unidad con un disco de limpieza o una lata de aire comprimido, o utilice otra unidad.

Mal de medios ópticos Grabe otro disco y / o grabar el disco a una velocidad inferior. Tal vez intente otra marca
de los medios de comunicación.

SATA / IDE Problemas con el cable Pruebe con un cable SATA / IDE diferente entre la unidad de CD-ROM y el controlador
o la placa base

Problemas del gestor de arranque Ha habido casos en los que las versiones especí fi cos del cargador de arranque de CD de FreeBSD

no trabajar en un determinado hardware. En estos casos, véase Técnicas de instalación alternativos para llevar a cabo la instalación de la unidad de destino

en un PC independiente y luego moverlo al hardware de destino. Hay más técnicas de solución de problemas enumerados en el Wiki de documentación bajo

pfSense Solución de problemas de arranque .

56 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

Arrancar desde el disco duro después de la instalación falla,

Después de la instalación y se reinicia el cortafuego, hay condiciones que pueden impedir que el sistema operativo desde el arranque plenamente. Las razones más
comunes son por lo general relacionados con la BIOS. Por ejemplo, una aplicación BIOS no puede arrancar desde un disco utilizando GPT o ZFS, o puede requerir
UEFI.

Algunos de estos pueden ser trabajadas en torno al elegir diferentes opciones para el diseño de particiones durante el proceso de instalación. Actualización de la BIOS a
la última versión disponible también puede ayudar.

La alteración de las opciones SATA en el BIOS ha mejorado el arranque en algunas situaciones también. Si se utiliza un disco duro SATA, experimente cambiando
las opciones SATA en el BIOS para la configuración, tales como AHCI, Legacy, o IDE. AHCI es el mejor modo de utilizar con las versiones actuales de software de
pfSense.

Al igual que en la sección anterior, hay más técnicas de resolución de problemas en la documentación en línea bajo Solución de problemas de arranque .

Interfaz de enlace de arriba no se detecta

Si el cortafuego se queja de que no detectó un enlace de interfaz de hasta eventos durante la asignación automática, primero asegúrese de que el cable esté
desconectado y que la interfaz no tiene una luz de enlace antes de elegir la opción de detección de enlace. Después de seleccionar la opción, conecte el cable de nuevo
en la interfaz y asegurarse de que tiene una luz de enlace antes de pulsar Entrar.
Prueba o reemplazar el cable en cuestión si no muestra una luz de enlace en el conmutador y / o puerto NIC una vez que se conecta. Si un cable de red está conectado directamente

entre dos ordenadores y no a un conmutador, y una de esas piezas de hardware es más antiguo (por ejemplo, tarjeta de red 10/100) asegurarse de que una cable cruzado esta

siendo usado. Adaptadores Gigabit todo el apoyo Auto-MDIX y se encargará de esto internamente, pero muchos más viejos adaptadores 10/100 no lo hacen. Del mismo modo, si la

conexión de un cortafuego que ejecuta el software pfSense a un interruptor que no es compatible con Auto-MDIX, utilice un cable de conexión directa.

Si la interfaz está conectado correctamente pero el cortafuego aún no detecta el evento de enlace, la interfaz de red no puede detectar correctamente o reportar el estado del
enlace con el sistema operativo o el controlador. En este caso, la asignación manual de las interfaces es necesario.

Solución de problemas de hardware

las siguientes sugerencias le ayudarán a resolver los problemas generales de hardware.

El arranque desde USB

Si el inicio se detiene con una mountroot> pedirá al arrancar desde el CD en vivo, por lo general con las unidades de CD / DVD USB, escapar al indicador de cargador
desde el menú de inicio y ejecutar el siguiente:

establecer kern.cam.boot_delay = 10000 arranque

Momento en el que el arranque continuará con normalidad.

Si el cortafuego está funcionando de forma permanente de un medio que requiere este retraso, editar / boot / loader.conf.local
e insertar la línea siguiente:

Kern . leva . boot_delay = 10000

6.7. Solución de problemas de instalación 57

El libro pfSense, Liberación

Retire hardware innecesario

Si el cortafuego contiene hardware que no se utilizará, eliminar o desactivarlo. Esto normalmente no es un problema, pero puede causar problemas y tiene el
potencial de reducir el rendimiento. Si una pieza no utilizada de hardware es extraíble, lo saca del cortafuego o desactivar en el BIOS.

Desactivar PNP OS en el BIOS

Se trata de un fi x común para hardware antiguo. pantallas con fi guración del BIOS pueden contener un escenario de PNP OS o Plug and Play del sistema operativo, que debe ser ajustado a inhabilitar

o no . Unos pocos tienen una configuración para el sistema operativo, el cual tiene que ajustarse a

otro.

Actualizar el BIOS

La segunda fi x más común para los problemas de hardware está actualizando el BIOS a la última revisión. La gente parece tener un tiempo difícil creer esto, pero confía en
nosotros, lo hace. actualizaciones de BIOS fi comúnmente x errores en el hardware. No es raro para golpear problemas provocados por errores de hardware en sistemas que
han estado estable con Windows durante largos períodos de tiempo. Ya sea Windows no provocan el error, o tiene un trabajo alrededor, como hemos encontrado este en
múltiples ocasiones. Cosas que las actualizaciones de BIOS se fi x incluyen: El no poder arrancar, problemas de tiempo, manteniendo la inestabilidad general, y otras
cuestiones como la compatibilidad de hardware.

Restablecer la configuración del BIOS a los valores de fábrica

sistemas de reciclados pueden tener una atípica BIOS con fi guración. La mayoría contienen una opción que permite opciones por defecto de fábrica para ser cargado. Utilice esta opción para

obtener un nuevo comienzo en la configuración del BIOS.

Otros parámetros de la BIOS

Si el BIOS permite la administración de energía con fi guración, intente alternar esa opción. Buscar otra cosa que parezca relevante a cualquier aspecto de la instalación está

fallando. Si se llega a este punto, el hardware de destino es probablemente una causa perdida y otro soporte físico, puede ser necesario. También comprobar para ver si el BIOS

tiene un registro de eventos que pueden enumerar los errores de hardware tales como fallos en las pruebas de memoria.

Si el hardware utiliza un chipset nuevo o reciente, una versión de desarrollo de software de pfSense puede trabajar. Comprobar el
Las instantáneas la página para ver si hay un desarrollo (por ejemplo, beta o Release Candidate) para tratar de construir.

Otros Problemas de hardware

El hardware de destino puede estar defectuoso, que las pruebas con el software de diagnóstico puede revelar. Pruebe el disco duro con el software de diagnóstico del OEM, y

compruebe la memoria con un programa como Memtest86 +. Estos y más herramientas están disponibles en el “ Ultimate Boot CD ”, Que está precargado con muchas herramientas de

diagnóstico de hardware libre. También asegúrese de que todos los ventiladores están girando a gran velocidad, y que no hay componentes están sobrecalentando. Si este es el

hardware más antiguo reutilizado, comprimido de limpieza / aire comprimido de los ventiladores y disipadores de calor puede hacer maravillas.

Actualización de una instalación existente

pfSense software se puede actualizar de forma fiable a partir de una versión anterior a una versión actual.

58 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

Al mantener un cortafuego que ejecuta el software actualizado con pfSense un comunicado el apoyo actual, nunca será obsoleto. Lanzamos periódicamente nuevas versiones que

contienen nuevas características, actualizaciones, equis fallo fi, y varios otros cambios. En la mayoría de los casos, la actualización de una instalación pfSense es fácil. Si el cortafuego

está actualizando a una nueva versión que es un solo punto de desenganche (por ejemplo, 2.3.2 a 2.3.3), la actualización es típicamente menor y poco probable que cause problemas.

El problema más común que se presenta durante las actualizaciones es fi regresiones hardware específico de una versión de FreeBSD a otro, aunque esto sea muy rara.
comunicados actualizados Fi x más hardware que se rompen, pero regresiones son siempre posibles. saltos más grandes, por ejemplo de 2.1.5 a 2.3.3 deben ser
manipulados con cuidado, e idealmente a prueba en un hardware idéntico en un entorno de prueba antes de su uso en la producción.

Hemos puesto notas de actualización, junto con los comunicados para ayudar a guiar a través de cualquier trampa de actualización potenciales. Estas notas varían de una versión a otra, la

versión más actualizada se puede encontrar en la Guía de actualización .

Hacer una copia de seguridad ... y un plan de reserva

Antes de realizar cualquier modificaciones a un cortafuego, lo mejor es hacer una copia de seguridad mediante la WebGUI:

• Navegar a Diagnóstico> Backup / Restore

• Selecciona el Área de copia de seguridad a TODAS en el Con fi guración de copia de seguridad sección de la página

• Hacer clic Descargar

• Guarde esto en alguna parte fi l de seguridad

Mantener varias copias de la copia de seguridad fi l en diferentes lugares seguros. Los clientes con una pfSense Suscripción Oro
debe considerar el uso de la Auto Con fi g de copia de seguridad paquete. Los clientes que utilizan la fi g paquete de copia de seguridad automática Con pueden hacer una copia

de seguridad manual con una nota que identifica el cambio, que se cifra y se almacena en nuestros servidores. Otra buena práctica es tener a mano un medio de instalación para

el lanzamiento está ejecutando actualmente y para la nueva versión, en caso de que algo va mal y se requiere una reinstalación. Si eso ocurriera, tener el respaldo fi l en la mano

y se refieren a

Copia de seguridad y recuperación .

La actualización

Hay varios métodos disponibles para actualizar una instalación normal del software de pfSense. O bien el WebGUI o la consola se pueden utilizar.

Actualización con los WebGUI

los Actualización automática característica contacto con un servidor pfsense.org y determina si existe una versión más reciente que la versión en el cortafuego. Esta
comprobación se realiza cuando un administrador visita el tablero de instrumentos o Sistema> Actualizar.

Hacer clic Con fi rm en Sistema> Actualizar para iniciar la actualización si hay uno disponible.

La actualización tarda unos minutos para descargar y aplicar, dependiendo de la velocidad de la conexión a Internet utilizada y la velocidad del hardware fi
cortafuegos. El cortafuego se reiniciará automáticamente cuando terminado.

La actualización mediante la consola

Una actualización también se puede ejecutar desde la consola. La opción de la consola está disponible en todos los medios disponibles para acceso a la consola: Video /
teclado, consola serie, o SSH. Una vez conectado a la consola del cortafuego, iniciar el proceso de actualización mediante la opción de menú de elección 13.

Como alternativa, desde el intérprete de comandos se ejecuta como root, ejecutar manualmente el comando siguiente:

6.8. Actualización de una instalación existente 59

El libro pfSense, Liberación

# pfSense-actualización

Versiones anteriores

Las versiones de software antes de pfSense 2.3 utilizan un método de actualización diferente. Para instalaciones “completas”, una TGZ fi l fue utilizado por el cortafuego para copiar en

el nuevo archivos. Este método fue problemática y ya no se utiliza. Sin embargo, por el momento, actualizar los archivos en ese formato todavía son proporcionados por el proyecto con

el fin de llevar a fi mayores rewalls al día. En las versiones anteriores, una actualización automática seguirá funcionando. Después de ejecutar la actualización automática puede haber

versiones más recientes disponibles, por lo que una vez que el cortafuego está ejecutando una versión de pfSense 2.4 o posterior, ejecute otra actualización si el cortafuego detecta que

es necesario.

Reinstalación / Actualización de con fi guración

Si una actualización no funcionará correctamente en una instalación existente, la con fi guración fi l puede ser restaurado a una copia recién instalada de software
de pfSense. Una con fi guración mayor siempre se pueden importar en una nueva versión. El código de actualización hará cambios necesarios en la con fi
guración por lo que funciona con la versión actual del software.

Ajustes de actualización

Rama / Seguimiento instantáneas

Por defecto, la verificación de actualización sólo busca o fi cialmente publicado versiones de software de pfSense, pero este método también se puede utilizar para realizar un

seguimiento de las instantáneas de desarrollo. La ubicación de actualización se puede cambiar visitando Sistema> Actualizar, Ajustes Actualizar pestaña y seleccionar un diferente Rama

en el Rama firmware sección.

Estable Las versiones son la mejor opción, ya que ven la mayoría de las pruebas y son razonablemente segura y sin problemas. Sin embargo, como con cualquier actualización, visite

el sitio web de pfSense y leer las notas de actualización para esa versión, y compruebe el Guía de actualización . Escoger Las instantáneas de desarrollo para cambiar un cortafuego a

rastrear el desarrollo de instantáneas se acumula. Estos por lo general son instantáneas para la próxima versión de menor importancia rama de mantenimiento. En algunos casos,

una Próxima versión opción estará en la lista. Esta opción hace que las instantáneas de la pista fi cortafuego para la próxima versión de actualización. Esto es más arriesgado, pero en

algunos casos puede ser necesaria para hardware nuevo o nuevas características que aún no se liberan. Consultar el foro y en una prueba de laboratorio para ver si estas

instantáneas son estables en un entorno particular. No recomendamos en general, la ejecución de estos en la producción.

Comprobar salpicadero

los Comprobar salpicadero casilla de verificación en Sistema> Actualizar, Ajustes Actualizar pestaña controla si o no una comprobación de actualización se lleva a cabo por el Información

del sistema widget en el tablero de instrumentos. En rewalls fi con bajos recursos o discos lentos, la desactivación de esta comprobación se reducirá la carga causada por ejecutar la

verificación cada vez que un administrador ve el tablero de instrumentos.

GitSync

Esta sección es para los desarrolladores y no debe ser utilizado por los usuarios finales. Deja configuración de esta área vacía o desactivada.

60 Capítulo 6. Instalación y actualización

 El libro pfSense, Liberación

Ajustes del sistema de ficheros

La configuración predeterminada para el sistema de ficheros fi son los mejores para la mayoría de los ambientes, sin embargo, hay ocasiones que requieren pequeños cambios para mejorar la

estabilidad, el rendimiento o la longevidad del sistema de ficheros fi.

Habilitación de soporte TRIM

El instalador de la versión de fábrica de conjuntos pfSense TRIM automáticamente. Tanto la fábrica y la versión CE de pfSense
2,4 soporte TRIM nativa al utilizar ZFS.

Si bien es posible activar manualmente TRIM, el apoyo es impredecible en hardware, por lo que no proporcionan instrucciones sobre cómo activar la función.

Desencadenando un sistema de archivos Comprobar

pfSense se ejecutará una verificación de fi cheros ( fsck) en el arranque cuando se detecta un sistema de ficheros fi impuro, por lo general a partir después de un corte de energía u

otro reinicio o apagado repentino impuro. En casos raros, que no siempre es suficiente, ya que un sistema de ficheros fi se puede dañar de otras formas que no siempre pueden

dejar la unidad marcada impuro. En estos casos:

• Conectarse a la consola

• Elija la opción de menú para reiniciar desde el menú de la consola ( 5)

• Entrar F ( mayúscula “f”) para forzar una comprobación fi sistema de archivos durante la secuencia de arranque, incluso si la unidad se considera limpia

Esa opción no está presente en todos los rewalls fi ya que no es compatible con ciertas implementaciones del BIOS. Si esa opción no está presente:

• Reinicie el cortafuego en modo monousuario por la opción de elegir 2 desde el menú de inicio

• prensa Entrar cuando se le pida una cáscara

• Entrar fsck -y /

• Repita el comando al menos 3 veces, o hasta que no se encuentran errores, incluso si el sistema de ficheros fi se informó limpia

6.9. Ajustes del sistema de ficheros 61

El libro pfSense, Liberación

62 Capítulo 6. Instalación y actualización

 CAPÍTULO

SIETE

CONFIGURACIÓN

Asistente de configuración

La primera vez un usuario inicia sesión en pfSense, el cortafuego presenta el asistente de configuración de forma automática. La primera página del asistente se muestra en la figura Asistente de

configuración de pantalla de inicio .

Hacer clic Siguiente para iniciar el proceso de con fi guración utilizando el asistente.

Propina: Usando el asistente de configuración es opcional. Haga clic en el logotipo de pfSense en la parte superior izquierda de la página para salir del asistente en cualquier momento.

Fig. 7.1: Pantalla de Asistente para la instalación partir

Pantalla de información general

La siguiente pantalla (Figura Pantalla de información general ) con fi guras el nombre de esta fi cortafuegos, el dominio en el que reside, y los servidores de DNS
para el cortafuego.

nombre de host los nombre de host puede ser casi cualquier cosa, pero debe comenzar con una letra y puede contener solamente

letras, números, o un guión.

Dominio Introduzca un dominio, por ejemplo, example.com. Si esta red no tiene un dominio, utilice
<Algo> .localdomain, donde < algo> es otro identi fi cador: a nombre de la empresa, apellido, apodo, etc. Por ejemplo, company.localdomain
El nombre de host y de dominio se combinan para formar el nombre de dominio totalmente calificado fi cado de esta fi
cortafuegos.

/ Servidor DNS secundario primaria La dirección IP del servidor DNS primario y secundario del servidor DNS
puede ser llenada en caso necesario y si son conocidos.

Estos servidores DNS se pueden dejar en blanco si el Resolver DNS se mantendrá activo usando Tings su conjunto- por defecto. El valor por
defecto pfSense con fi guración tiene la resolución DNS activo en el modo de resolución (modo de no reenvío), cuando se establece esta manera, la
resolución DNS no necesita servidores DNS de reenvío como se

63
El libro pfSense, Liberación

se comunicará directamente con los servidores DNS raíz y otros servidores DNS autorizados. Para forzar el cortafuego de usar estos
servidores DNS con fi gura, habilitar el modo de reenvío en el Resolver DNS o utilizar el DNS Forwarder.

Si este fi cortafuegos tiene un tipo de WAN dinámica como DHCP, PPPoE PPTP o éstos pueden ser asignados automáticamente por el ISP y
pueden dejarse en blanco.

DNS anulación Cuando se activa, una dinámica WAN ISP puede suministrar servidores DNS que anulan los
a mano. Para forzar el uso de sólo los servidores DNS con fi gurar manualmente, desactive esta opción.

Ver también:

Para obtener más información acerca de con fi gurar el Resolver DNS, consulte de resolución de DNS

Hacer clic Siguiente continuar.

Fig 7.2:. Pantalla de Información General

NTP y la zona horaria con fi guración

La siguiente pantalla (Figura NTP y la zona horaria pantalla de configuración ) tiene opciones relacionadas con el tiempo.

nombre de host del servidor de tiempo Un nombre de host del servidor Network Time Protocol (NTP) o la dirección IP. A menos que una espe-

Se requiere fi ci c servidor NTP, tales como uno en LAN, lo mejor es dejar el nombre de host del servidor de tiempo en el valor
predeterminado 0.pfsense.pool.ntp.org. Este valor se elige un servidor aleatorio de un grupo de conocidos buenos anfitriones NTP.

Para utilizar múltiples servidores de tiempo, añadirlos en la misma caja, separando cada servidor por un espacio. Por ejemplo, el uso de tres
servidores NTP de la piscina, entre:

0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org

Esta numeración es especí fi ca a la forma. pool.ntp.org opera y asegura cada dirección se extrae de una piscina única de servidores NTP
por lo que el mismo servidor no se acostumbra dos veces.

Zona horaria Elija una zona geográfica llamada que se adapte mejor ubicación de este fi cortafuegos, o cualquier otra
zona deseada.

64 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Hacer clic Siguiente continuar.

Fig 7.3:. Pantalla de configuración de NTP y la zona horaria

Con fi guración WAN

La página siguiente del asistente con fi guras de la interfaz WAN del cortafuego. Esta es la red externa hacia el ISP o router aguas arriba, por lo que el asistente
ofrece opciones estafadores fi guración para soportar varios tipos de conexión ISP común.

Tipo de WAN los Tipo seleccionado ( Figura Con fi guración WAN ) debe coincidir con el tipo de WAN requerido por
el ISP, o lo que el anterior cortafuego o enrutador fue con fi gurada para su uso. Las opciones posibles son
Estática, DHCP, PPPoE, y PPTP. La opción por defecto es DHCP debido al hecho de que es el más común, y para la mayoría de los
casos este valor permite que un cortafuego que “sólo trabajo” sin adicional con fi guración. Si no se conoce el tipo de WAN, o no son
conocidos ajustes especí fi cas para la WAN, esta información debe ser obtenida del ISP. Si el tipo de WAN requerido no está
disponible en el asistente, o para leer más información sobre los diferentes tipos de WAN, consulte Tipos de interfaz y con fi guración .

Nota: Si la interfaz WAN inalámbrica es, opciones adicionales serán presentados por el asistente que no están cubiertas durante este
recorrido del asistente de configuración estándar. Referirse a Inalámbrico , Que tiene una sección de WAN inalámbrica para obtener
información adicional. Si alguna de las opciones no son claras, omitir la configuración WAN, por ahora, y luego realizar la con fi guración
inalámbrica después.

Fig 7.4:. WAN Con fi guración

Dirección MAC Este campo, que se muestra en la figura General de la WAN con fi guración , cambia la dirección MAC utilizada

en la interfaz de red WAN. Esto también se conoce como “spoo fi ng” la dirección de MAC.

Nota: Los problemas aliviados por spoo fi ng una dirección MAC suelen ser temporales y fácil de trabajar alrededor. El mejor curso
de acción es mantener la dirección MAC original del hardware, recurriendo a SPOO fi ng sólo cuando sea absolutamente
necesario.

Cambio de la dirección de MAC puede ser útil cuando la sustitución de una pieza existente de equipo de red. Ciertos proveedores de Internet, principalmente

los proveedores de cable, no funcionará correctamente si hay una nueva dirección MAC es cados encuen-. Algunos proveedores de Internet requieren

apagar y encender el módem, otros requieren el registro de la nueva

7.1. Asistente de configuración sesenta y cinco

El libro pfSense, Liberación

abordar a través del teléfono. Además, si esta conexión WAN está en un segmento de red con otros sistemas que lo ubican a través de ARP, el

cambio del MAC para que coincida y más viejo pedazo de equipo también puede ayudar a facilitar la transición, en lugar de tener que borrar las

memorias caché ARP o actualizar las entradas ARP estáticas.

Advertencia: Si alguna vez se utilizó este cortafuego como parte de una Clúster de alta disponibilidad , No suplantar la dirección MAC.

Unidad de transmisión máxima (MTU) El campo MTU, que se muestra en la figura General de la WAN con fi guración ,
normalmente puede dejarse en blanco, pero se puede cambiar cuando sea necesario. Algunas situaciones pueden requerir una MTU inferior para asegurar los

paquetes están dimensionados adecuadamente para una conexión a Internet. En la mayoría de los casos, el valor por defecto asume valores para el tipo de conexión

WAN funcionarán correctamente.

Tamaño máximo del segmento (MSS) MSS, que se muestra en la figura General de la WAN con fi guración puede ser típicamente

se deja en blanco, pero se puede cambiar cuando sea necesario. Este campo permite MSS de sujeción, lo que garantiza tamaños de paquetes TCP se mantienen

adecuadamente pequeño para una conexión de Internet en particular.

Fig 7.5:. General de la WAN con fi guración

Estática fi guración IP de Con Si se selecciona la opción “estático” para el tipo de WAN, la dirección IP, subred
Máscara, y aguas arriba de puerta de enlace deben ser todos llenada en la (Figura Configuración IP estáticas ). Esta información se debe
obtener de la ISP o quien controla la red en el lado WAN de esta fi cortafuegos. los Dirección IP y aguas arriba de puerta de enlace Ambos
deben residir en la misma subred.

Fig. 7.6: Configuración de IP estática

nombre de servidor Este campo (Figura DHCP Configuración de nombre de host ) Sólo se necesita por algunos proveedores de Internet. Esta

valor se envía junto con la solicitud DHCP para obtener una dirección IP WAN. Si el valor de este campo es desconocida, trate de dejarlo en
blanco a menos que se indique lo contrario por el ISP.

PPPoE Con ​fi guración Cuando se utiliza el (Protocolo Punto a Punto sobre Ethernet) PPPoE tipo de WAN (Fig-
Ure PPPoE Con ​fi guración ), los Nombre de usuario PPPoE y PPPoE contraseña Se requieren campos, como mínimo. Los valores de
estos campos son determinados por el ISP.

66 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Fig 7.7:. DHCP Configuración de nombre de host

Nombre de usuario PPPoE El nombre de usuario para la autenticación PPPoE. El formato es controlado por

el ISP, pero comúnmente se utiliza un estilo de dirección de correo electrónico, como [email protected].

PPPoE contraseña La contraseña para acceder a la cuenta fi especificados por el nombre de usuario anteriormente.

La contraseña está enmascarado por defecto. Para ver la contraseña introducida, comprobar Revelar caracteres de la

contraseña. Nombre del servicio PPPoE El nombre del servicio PPPoE puede ser requerido por un ISP, pero es typ-

camente deja en blanco. En caso de duda, dejarlo en blanco o en contacto con el ISP y preguntar si es necesario.

Marcación PPPoE bajo demanda Causas pfSense para dejar la conexión abajo / de ine fl hasta que los datos

Se solicita que necesitaría la conexión a Internet. inicios de sesión PPPoE suceden muy rápido, por lo que en la mayoría de los
casos la demora mientras que la conexión es de configuración sería insignificante. Si los servicios públicos están alojados
detrás de esta fi cortafuegos, no seleccione esta opción como una conexión en línea se debe mantener lo más posible en ese
caso. También tenga en cuenta que esta elección no caerá una conexión existente.

PPPoE de espera en inactividad especi fi ca la cantidad de tiempo pfSense le permitirá la conexión PPPoE
permanecerá sin transmisión de datos antes de desconectar. Esto sólo es útil cuando se combina con el dial en la
demanda, y típicamente se deja en blanco (desactivado).

Nota: Esta opción también requiere la desactivación de la vigilancia de puerta de enlace, de lo contrario la conexión nunca va a estar
inactivo.

Fig 7.8:. PPPoE Con ​fi guración

PPTP Con fi guración El PPTP (Point-to-Point Protocolo de túnel) WAN tipo (figura PPTP WAN
Con fi guración ) es para los ISP que requieren un inicio de sesión PPTP, no para la conexión a una VPN PPTP remoto. Estos valores, al igual que la
configuración PPPoE, serán proporcionados por el ISP. Se requieren unas cuantas opciones adicionales:

Dirección IP local La dirección local (generalmente privados) utilizada por este fi cortafuegos para establecer la

7.1. Asistente de configuración 67

El libro pfSense, Liberación

conexión PPTP.

Máscara de subred en CIDR La máscara de subred de la dirección local.

Dirección IP remota La dirección del servidor PPTP, que es por lo general dentro de la misma subred que
el dirección IP local.

Fig 7.9:. PPTP WAN Con fi guración

Estas dos últimas opciones, visto en la figura Built-in Ingress opciones de filtrado , son útiles para la prevención de inválido tráfico c entren en la red protegida por este
fi cortafuegos, también conocido como “Ingress Filtering”.

Bloquear RFC 1918 Redes Privadas Bloquea las conexiones proceden de redes privadas registradas tales
como 192.168.xx y 10.xxx intentar entrar en la interfaz WAN. Una lista completa de estas redes está en Las direcciones IP privadas .

Bloque Bogon Redes Cuando está activo, los bloques fi cortafuego tráfico c entren si se obtiene de re-
servido o espacio no asignado IP que no debe estar en uso. La lista de redes Bogon se actualiza periódicamente en el
fondo, y no requiere mantenimiento manual. redes Bogon se explican más detalladamente en Bloque Bogon Redes .

Hacer clic Siguiente para continuar una vez que las configuraciones WAN han sido llenada fi en.

Fig. 7.10: incorporado en Ingress Opciones de filtro

68 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Interfaz de red LAN con fi guración

Esta página del asistente con fi guras de la Dirección IP de la LAN y Máscara de subred ( Figura Con fi guración LAN ).

Si este fi cortafuegos no se conecta a cualquier otra red a través de VPN, el valor predeterminado 192.168.1.0/24 la red puede ser aceptable. Si esta red
debe estar conectado a otra red, incluso a través de VPN desde lugares remotos, elegir un rango de direcciones IP privada mucho más oscuro que el defecto
común de 192.168.1.0/24. dentro del espacio IP 172.16.0.0/12 1918 bloque de direcciones privadas RFC es generalmente utiliza la menor frecuencia, por lo
que elegir algo entre 172.16.xx y 172.31.xx para ayudar a evitar la conectividad VPN di fi cultades. Si la LAN es 192.168.1.x y un cliente remoto se encuentra
en un punto de acceso inalámbrico utilizando 192.168.1.x ( muy común), el cliente no podrá comunicarse a través de la VPN. En ese caso, 192.168.1.x es la
red local para el cliente en el punto de acceso, no la red remota a través de la VPN. Si el Dirección IP de la LAN debe ser cambiado, entrar en él aquí, junto
con un nuevo Máscara de subred. Si se cambian estos ajustes, la dirección IP del ordenador utilizado para completar el asistente también debe cambiarse si
está conectado a través de la LAN. Liberar / renovar su concesión DHCP, o llevar a cabo una “reparación” o “diagnosticar” en la interfaz de red cuando
terminado con el asistente de configuración.

Fig 7.11:. Con fi guración LAN

Hacer clic Siguiente continuar.

Configurar contraseña de administrador

A continuación, cambiar la contraseña de administración para la WebGUI como se muestra en la figura Cambiar contraseña administrativa . Lo más recomendable es utilizar una

contraseña fuerte y segura, pero no hay restricciones son aplicadas automáticamente. Introduzca la contraseña en el Clave de administrador y la caja de con fi rmación para asegurarse

de que se ha introducido correctamente.

Hacer clic Siguiente continuar.

Advertencia: No deje la contraseña establecida en el valor predeterminado pfSense. Si el acceso a la administración a través de cortafuego WebGUI o SSH está expuesto a

Internet, intencional o accidentalmente, el cortafuego fácilmente podría verse comprometida si se sigue utilizando la contraseña predeterminada.

7.1. Asistente de configuración 69

El libro pfSense, Liberación

Fig 7.12:. Cambiar contraseña administrativa

Finalización del asistente de configuración

Esto completa el asistente de configuración con fi guración. Hacer clic Recargar ( Figura Recargar pfSense WebGUI ) y WebGUI aplicará la configuración del asistente y
volver a cargar los servicios modificados por el asistente.

Propina: Si la dirección IP de la LAN se cambió en el asistente y el asistente se ejecuta desde la LAN, ajuste la dirección IP del equipo cliente después de hacer
clic en consecuencia Recargar.

Cuando se le pida que vuelva a iniciar sesión, introduzca la nueva contraseña. Los restos de nombre de usuario administración.

Fig. 7.13: Actualizar pfSense WebGUI

En este punto el cortafuego tendrá conectividad básica a Internet a través de la WAN y los clientes de la LAN será capaz de llegar a los sitios de Internet a través
de este fi cortafuegos.

Si en algún momento esta con fi guración inicial se debe repetir, revisar el asistente en Sistema> SetupWizard desde dentro de la WebGUI.

Interfaz Con fi guración

Aspectos básicos de la interfaz con fi guración se pueden realizar en la consola y en el asistente de configuración para empezar, pero los cambios también se pueden hacer después de la

configuración inicial de las páginas que visitan en el marco del Interfaces menú. Algunas funciones básicas están cubiertas aquí, los detalles se pueden encontrar en Tipos de interfaz y con fi

guración .

asignar las interfaces

Interfaces adicionales añadidos después de la configuración inicial se pueden asignar papeles visitando Interfaces> (asignar). Hay numerosas pestañas en esa página
utilizados para la asignación y la creación de diferentes tipos de interfaces. Las dos pestañas más comúnmente utilizados son asignación de las interfaces y VLAN.

70 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Ver también:

VLAN con fi guración está cubierto de LAN virtuales (VLAN) . los asignación de las interfaces pestaña muestra una lista de todas las interfaces actualmente asignados:

WAN, LAN, y cualquier OptX entradas con fi gura en el cortafuego. Al lado de cada interfaz es una lista desplegable de todas las interfaces de red / puertos que se

encuentran en el sistema. Esta lista incluye las interfaces de hardware, así como interfaces VLAN y otros tipos de interfaces virtuales. La dirección MAC, etiqueta VLAN,

o otra información de identificación se imprime a lo largo de lado el nombre de interfaz para ayudar en la identificación fi. Las otras pestañas, al igual que la VLAN pestaña,

están ahí para crear interfaces adicionales que luego pueden ser asignados. Todos estos tipos de interfaz están cubiertos en Tipos de interfaz y con fi guración . Para

cambiar una asignación de interfaz existente a otro puerto de red:

• Navegar a Interfaces> (asignar)

• Busque la interfaz para cambiar en la lista

• Seleccione el nuevo puerto de red de la lista desplegable en la fila para esa interfaz

• Hacer clic Salvar

Para añadir una nueva interfaz de la lista de puertos de red no utilizados:

• Navegar a Interfaces> (asignar)

• Seleccione el puerto a utilizar en la lista desplegable llamada Puertos de red disponibles

• Hacer clic Añadir

Esta acción añadirá otra línea con una nueva interfaz OPT numerado más alto que cualquier interfaz OPT existente, o si esta es la primera interfaz
adicional, OPT1.

Interfaz de Con fi guración Fundamentos

Las interfaces se con fi gura por la elección de su entrada por debajo de la Interfaces menú. Por ejemplo, para con fi gurar el interfaz WAN, seleccione Interfaces>
WAN. Casi todas las opciones que se encuentran bajo Interfaces> WAN son idénticos a los mencionados en la parte de WAN de la Asistente de configuración.

Cada interfaz es con fi gurado de la misma manera y cualquier interfaz puede ser con fi gurada como cualquier tipo de interfaz (estática, DHCP, PPPoE,
etc). Además, el bloqueo de las redes privadas y redes Bogon se puede realizar en cualquier interfaz. Cada interfaz se puede cambiar, incluyendo WAN y
LAN, a un nombre personalizado. Además, cada interfaz se puede activar y desactivar a voluntad, siempre y cuando un mínimo de una interfaz permanece
habilitado.

Ver también:

Para información detallada con fi guración de la interfaz, consulte Tipos de interfaz y con fi guración

los Con IPv4 Tipo fi guración se puede cambiar entre IPv4 estática, DHCP, PPPoE, PPP, PPTP, L2TP, o Ninguna para salir de la interfaz sin una dirección IPv4. Cuando IPv4

estática se utiliza, una Dirección IPv4, máscara de subred y Aguas arriba de puerta de enlace IPv4 puede ser establecido. Si se elige una de las otras opciones, a

continuación, escriba especí fi cos fi campos parecen con fi gura cada tipo. los Con IPv6 Tipo fi guración se puede configurar para IPv6 estática, DHCP6, SLAAC, Túnel

6rd, túnel 6to4, Track Interface,

o Ninguna dejar IPv6 fi gurada incond en la interfaz. Cuando se selecciona IPv6 estática, establecer una dirección IPv6, pre fi x longitud, y Aguas arriba IPv6 Gateway.

Si esto una interfaz inalámbrica, la página contendrá muchas opciones adicionales para con fi gurar la parte inalámbrica de la interfaz. Consultar Inalámbrico para
detalles.

Nota: Selección de una Puerta de la lista desplegable, o la adición de una nueva puerta de enlace y seleccionándolo, hará que pfSense para el tratamiento de dicha interfaz como una
interfaz de tipo de WAN para NAT y funciones relacionadas. Esto no es deseable para la orientación interna

7.2. Interfaz Con fi guración 71

El libro pfSense, Liberación

interfaces, tales como LAN o una DMZ. Gateways todavía pueden ser utilizados en las interfaces a las rutas estáticas y otros fines sin la selección de una Puerta
aquí en la página de interfaces.

Administración de listas en la GUI

El pfSense WebGUI tiene un conjunto común de iconos que se utilizan para la gestión de listas y colecciones de objetos pasantes a cabo el cortafuego. No cada icono
se utiliza en todas las páginas, pero sus significados son consistentes en función del contexto en el que se ven. Ejemplos de tales listas incluyen reglas fi cortafuego,
las reglas de NAT, IPSec, OpenVPN, y certi fi cados.

Añadir un nuevo elemento a una lista

Añadir un elemento al principio de una lista

Añadir un elemento al final de una lista

Editar un artículo existente

Copiar un elemento (crear un nuevo elemento basado en el elemento seleccionado)

Desactivar un elemento activo

Habilitar un elemento deshabilitado

Eliminar un elemento

Se utiliza para mover las entradas después de seleccionar uno o más elementos. Haga clic para mover los elementos seleccionados por encima de esta fila. Mayús

y haga clic para mover los elementos seleccionados por debajo de esta fila.

Las secciones pueden tener sus propios iconos especí fi cos para cada área. Consulte las secciones correspondientes de este libro para especi fi cs sobre los iconos que se

encuentran en otras partes del cortafuego. Por ejemplo, para hallar el significado de los iconos utilizados sólo en la gestión de certi fi cado, busque en Gestión de certi fi cado

Propina: Para determinar qué acción llevar a cabo un icono, coloque el cursor sobre el icono con el puntero del ratón y un mensaje emergente mostrará una breve descripción
del propósito del icono.

Navegar rápidamente a la interfaz gráfica de usuario con accesos directos

Muchas áreas de la GUI tienen iconos de acceso directo presentes en la zona conocida como la “Breadcrumb Bar”, como se ve en la figura
Ejemplo accesos directos . Estos iconos de acceso directo reducen la cantidad de caza necesario para localizar las páginas relacionadas, lo que permite a un administrador fi cortafuegos para

navegar rápidamente entre las páginas de un servicio de estado, registros, y con fi guración. Los accesos directos para un tema determinado están presentes en todas las páginas relacionadas

con ese tema. Por ejemplo, en la figura Ejemplo accesos directos , los accesos directos tienen los siguientes efectos:

Comienza el servicio Si se detiene el servicio, este icono permite iniciar el servicio.

Reiniciar servicio Si el servicio se está ejecutando, este icono se reinicia el servicio.

72 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Fig. 7.14: Atajos Ejemplo

Parada de servicio Si el servicio se está ejecutando, este icono se detiene el servicio.

Los ajustes relacionados Cuando aparezca este icono, que navega a la página de configuración de esta sección.

Página de estado de enlace Un enlace a la página de estado de esta sección, si es que existe.

Página Registro de Enlace Si esta sección tiene una página de registro relacionadas, este icono enlaces allí.

Ayuda Enlace Carga un tema de ayuda relacionados para esta página. los Estado del servicio página ( Estado> Servicios) también tiene controles de acceso directo para páginas

relacionadas con cada servicio, tal como se muestra en la figura Accesos directos en Estado del servicio . Los iconos tienen el mismo significado que en la sección anterior.

Fig. 7.15: Atajos de Estado del servicio

Opciones generales de Con fi guración

Sistema> Configuración general contiene opciones que establecen los artículos con fi guración básicos para pfSense y la interfaz gráfica de usuario. Algunas de estas opciones también se

encuentran en el Asistente de configuración .

nombre de host los nombre de host es el nombre corto para este fi cortafuegos, tales como firewall1, hq-fw, o sitio1.
El nombre debe comenzar con una letra y puede contener letras, números o un guión.

Dominio Introducir el Dominio nombre para este fi cortafuegos, por ejemplo, example.com. Si esta red no tiene
un dominio, utilice < algo> .localdomain, donde < algo> es otro identi fi cador: a nombre de la empresa, apellido, apodo, etc.
Por ejemplo, company.localdomain

los nombre de host y Dominio nombre se combinan para componer el nombre completo de cali fi cado de dominio (FQDN) de esta fi cortafuegos. Por ejemplo,
si el nombre de host es fw1 y el Dominio es example.com, entonces el FQDN es
fw1.example.com.

Configuración del servidor DNS

Las opciones en esta sección controlan cómo el cortafuego resuelve nombres de host mediante DNS.

Servidor DNS 1-4 Dirección Las direcciones IP de los servidores DNS pueden ser llenada en caso necesario y si
son conocidos.

Estos servidores DNS se pueden dejar en blanco si el Resolver DNS se mantendrá activo usando Tings su conjunto- por defecto. El valor

predeterminado pfSense con fi guración tiene el Resolver DNS activo en el modo de resolución (modo Warding no para-). Cuando se establece esta

forma de resolución de DNS no necesita reenviar los servidores DNS, ya que

7.5. Opciones generales de Con fi guración 73

El libro pfSense, Liberación

se comunicará directamente con los servidores DNS raíz y otros servidores DNS autorizados. Para forzar el cortafuego de usar estos
servidores DNS con fi gura, habilitar el modo de reenvío en el Resolver DNS o utilizar el DNS Forwarder.

Ver también:

Para obtener más información acerca de con fi gurar el Resolver DNS, consulte de resolución de DNS

Si este fi cortafuegos tiene un tipo de WAN dinámica como DHCP, PPPoE PPTP o éstos pueden ser asignados automáticamente por el ISP y
pueden dejarse en blanco.

Servidor DNS 1-4 puerta de enlace Además de sus direcciones IP, esta página proporciona una manera de fijar la entrada
utilizado para llegar a cada servidor DNS. Esto es especialmente útil en un escenario multi-WAN a la que, idealmente, el cortafuego tendrá al
menos un servidor DNS con fi gurada por la WAN. Más información sobre DNS para Multi-WAN se puede encontrar en Los servidores DNS y
rutas estáticas .

De modificación del servidor DNS Cuando se activa, una dinámica WAN ISP puede suministrar servidores DNS que override
los establecidos manualmente. Para forzar el uso de sólo los servidores DNS con fi gurar manualmente, desactive esta opción.

Desactivar DNS Forwarder Por defecto, pfSense consultará el Resolver DNS o DNS Forwarder en ejecución
en este fi cortafuegos para resolver nombres de host por sí mismo. Esto se hace haciendo una lista de localhost ( 127.0.0.1) como su servidor DNS primero

internamente. La activación de esta opción deshabilita este comportamiento, obligando al cortafuego de utilizar los servidores DNS con fi gura anterior en lugar de

sí mismo.

Localización

Las opciones de esta sección de control de visualización del reloj del cortafuego y del lenguaje.

Zona horaria Elija una zona geográfica llamada que se adapte mejor ubicación de este fi cortafuegos, o una com-
zona lun tales como UTC. El reloj cortafuego, entradas de registro, y otras áreas de la fi cortafuegos basan su tiempo en esta zona. Cambio de la

zona puede requerir un reinicio para activar plenamente en todas las áreas del cortafuego.

servidores de hora Un nombre de host del servidor Network Time Protocol (NTP) o la dirección IP. A menos que un c NTP específica

Se requiere servidor, como una en la LAN, lo mejor es dejar el servidores de hora valor en el valor predeterminado 0.pfsense.pool.ntp.org.
Este valor se elige un servidor aleatorio de un grupo de conocidos buenos anfitriones NTP.

Para utilizar múltiples servidores de tiempo, añadirlos en la misma caja, separando cada servidor por un espacio. Por ejemplo, el uso de tres
servidores NTP de la piscina, entre:

0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org

Esta numeración es especí fi ca a la forma. pool.ntp.org opera y asegura cada dirección se extrae de una piscina única de servidores NTP
por lo que el mismo servidor no se acostumbra dos veces.

Idioma La interfaz gráfica de usuario pfSense ha sido traducida a otros dos idiomas además del defecto en-
ñol idioma. Los idiomas alternativos son Portugués (Brasil) y Turco.

WebCon fi gurator

Las opciones en esta sección controlan varios aspectos del comportamiento de la interfaz gráfica de usuario.

Tema Cambiando el Tema controla la apariencia de la interfaz gráfica de usuario. Varios temas se incluyen en el
sistema de base, y que sólo hacen cambios no cosméticos funcionales a la WebGUI.

Top Navigation Esta opción controla el comportamiento de la barra de menú en la parte superior de cada página. Hay dos
posibles opciones:

74 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Se desplaza con la página El comportamiento por defecto. Cuando se desplaza a la página, la navegación sigue siendo

en la parte superior de la página, por lo que cuando el desplazamiento hacia abajo ya no es visible, ya que se desplaza hacia la parte superior

de la ventana. Esta es la mejor opción para la mayoría de las situaciones.

Fijo Cuando se selecciona, la navegación se mantiene fijo en la parte superior de la ventana, siempre visible

y disponible para su uso. Este comportamiento puede ser conveniente, pero en pantallas más pequeñas, tales como tabletas y

dispositivos móviles, menús largos se pueden cortar, dejando las opciones en la parte inferior inalcanzable.

Nombre de host en el menú Cuando se establece, la ficción de cortafuegos nombre de host o Nombre de dominio completo cali fi cado Estará en-

cluded en la barra de menú para referencia. Esto puede ayudar al mantenimiento de múltiples rewalls fi, lo que hace que sea más fácil
distinguirlos sin mirar el título del navegador o de texto separado.

Las columnas del tablero de instrumentos El tablero de instrumentos está limitada a 2 columnas de forma predeterminada. En pantallas más amplias, más

columnas se pueden agregar para hacer un mejor uso del espacio horizontal de la pantalla. El número máximo de columnas es 4.

Los paneles asociados Mostrar / Ocultar Unas pocas áreas de la interfaz gráfica de usuario pfSense contienen paneles plegables con ajustes.

Estos paneles ocupan espacio en la pantalla, por lo que están ocultos por defecto. Para los administradores de fi cortafuego que utilizan los paneles con

frecuencia, esto puede ser lento y ineficiente, por lo que las opciones de este grupo permiten que los paneles se muestran por defecto en lugar de

escondido.

disponible Reproductores controla la disponible Reproductores panel en el tablero de instrumentos.

registro del filtro Controla el registro de ltrado fi ( ) Panel utiliza para buscar entradas de registro en virtud de

Estado> Registros del sistema.

de Log Controla los parámetros de cada registro en el De Log ( ) Disponible para el panel

cada registro bajo Estado> Registros del sistema. Ajustes de vigilancia Controla el panel de opciones se utiliza para cambiar

los gráficos en Estado>

Supervisión.

Etiquetas de columna a la izquierda Cuando se activa, las etiquetas de opción en la columna de la izquierda se establecen para cambiar opciones cuando

se hace clic. Esto puede ser conveniente si el administrador fi cortafuegos se utiliza para el comportamiento, pero también puede ser problemático en el

móvil o en casos cuando el comportamiento es inesperado.

Período de actualización del tablero de instrumentos Controla el intervalo en el que se actualizan los datos salpicadero. Mucho de

widgets de actualizar dinámicamente el uso de AJAX. Con muchos widgets cargados, un intervalo de actualización rápida puede causar una
carga alta en el cortafuego, dependiendo del hardware en uso. Lo que permite más tiempo entre actualizaciones reduciría la carga total.

Opciones avanzadas de Con fi guración

Sistema> Avanzado contiene numerosas opciones de carácter avanzado. Pocas de estas opciones requieren un ajuste para el enrutamiento básico / NAT
implementaciones, estas opciones pueden ayudar a personalizar la fi cortafuegos con fi guración de manera benéfico para los entornos más complejos.

Algunas de estas opciones se explica con más detalle en otras secciones del libro, donde la discusión es más actual o relevante, pero todos ellos son
mencionados aquí con una breve descripción.

Administrador de acceso Tab

Las opciones que se encuentran en el El acceso de administrador pestaña gobiernan los diversos métodos para administrar el cortafuego, incluyendo a través de la interfaz web,

SSH, serial, y la consola física.

7.6. Opciones avanzadas de Con fi guración 75

El libro pfSense, Liberación

gurator WebCon fi (WebGUI)

Protocolo

El Protocolo WebGUI puede fijarse en cualquiera HTTP o HTTPS. La mejor práctica es utilizar HTTPS para que tráfico c hacia y desde la WebGUI está cifrada.

SSL Certi fi cado

Si se elige HTTPS, un certificado también debe ser elegido de la SSL Certi fi cado la lista desplegable. El certi fi cado por defecto es una generada automáticamente
certi fi cado autofirmado. Esa no es una situación ideal, pero es mejor que ningún cifrado en absoluto.

Propina: Para utilizar un certificado SSL fi cado y la clave firmada externamente, importarlos usando el Certi fi cado de Administrador, a continuación, seleccione el certi fi cado aquí.

La principal desventaja de usar un certificado generado por el mismo encargo es la falta de seguridad de la identidad de la máquina, ya que el certi fi cado no está firmado por
una autoridad de certi fi cado de confianza para el navegador. Además, dado que la mayor parte de los usuarios de Internet a un inválido certi fi cado tal debe ser considerado
un riesgo, los navegadores modernos se han tomando medidas enérgicas contra la forma en que se manejan. Firefox, por ejemplo, da una pantalla de advertencia y obliga al
usuario a importar el certi fi cado y permitir una excepción permanente. Internet Explorer mostrará una pantalla de advertencia con un enlace a seguir, al igual que Chrome.
Opera mostrará un diálogo de advertencia.

Propina: Para generar un nuevo certi fi cado autofirmado para la interfaz gráfica de usuario, conectarse a través de la consola o ssh y desde el intérprete de comandos, ejecute el siguiente
comando:

pfSsh.php reproducción generateguicert

Puerto TCP

Al mover el WebGUI a un puerto alternativo es preferido por algunos administradores de seguridad por razones de la oscuridad, aunque tales prácticas no deben ser

considerados como ofrecer cualquier bene fi cio de seguridad. Traslado de la interfaz gráfica de usuario a otro puerto va a liberar los puertos web estándar para su uso con

puerto remite u otros servicios tales como un HAProxy. Por defecto, el WebGUI utiliza HTTPS en el puerto 443 con una redirección desde el puerto 80 para la mejor

compatibilidad y facilidad de con fi guración inicial. Para cambiar el puerto, introduzca un nuevo número de puerto en el Puerto TCP campo.

Procesos Max

Si varios administradores ver la interfaz gráfica de usuario al mismo tiempo y las páginas están tomando demasiado tiempo para cargar, o en su defecto a la carga, a continuación, aumentar el

Max procesos de valor. Por defecto se establece en 2, por lo que el cortafuego se ejecuta dos procesos de trabajo del servidor web.

WebGUI redirección

Por defecto, para facilitar el acceso y la compatibilidad, el cortafuego se ejecuta una redirección en el puerto 80 de manera que si un navegador intenta acceder al
cortafuego con HTTP, el cortafuego aceptará la solicitud y luego redirigir el navegador a HTTPS en el puerto
443. Esta redirección se puede desactivar mediante la comprobación Desactivar WebCon fi regla gurator redirección. Desactivación de la redirección también permite que otro demonio para

enlazar con el puerto 80.

76 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

WebGUI sesión de autocompletar

Por conveniencia, la forma de la conexión permite autocompletar por lo que los navegadores pueden guardar las credenciales de inicio de sesión. En entornos de alta seguridad, tales como los

que deben adherirse a especí normas de cumplimiento de seguridad fi c, este comportamiento no es aceptable. Se puede desactivar mediante la comprobación Desactivar WebCon fi

autocompletar gurator inicio de sesión. Esto sólo controles de autocompletar en el formulario de inicio de sesión.

Advertencia: Pocos navegadores respetan esta opción. Muchos de ellos siguen ofreciendo a guardar las contraseñas, incluso cuando el formulario se especí fi ca que no se debe

permitir. Este comportamiento se debe controlar o cambiar usando las opciones del navegador.

WebGUI mensajes de inicio de sesión

inicios de sesión exitosos resultan en un mensaje que se está imprimiendo a la consola, y en algún hardware estos mensajes de la consola causan un “bip” a ser oído desde el

dispositivo. Para detener este mensaje de registro (y la señal resultante), comprobar Deshabilitar el registro de WebCon fi gurator inicios de sesión con éxito.

Anti-bloqueo

El acceso al puerto y el puerto SSH WebGUI en la interfaz LAN está permitido por defecto independientemente de las reglas filtro Ned fi-de los usuarios, debido a la regla

anti-bloqueo. Cuando dos o más interfaces están presentes, la regla de anti-bloqueo está activo en la interfaz de LAN; Si sólo hay una interfaz es con fi gurado, la regla

anti-bloqueo estará activa en esa interfaz en su lugar. Comprobación Desactivar las reglas anti-bloqueo WebCon fi gurator elimina la regla automática de prevención de

bloqueo. Con esa regla desactivada, es posible controlar las direcciones IP de la LAN pueden acceder a la WebGUI usando reglas fi cortafuego.

Advertencia: Las reglas de filtrado deben estar en su lugar para permitir el acceso GUI antes de habilitar esta opción! Si las reglas de LAN no permiten el acceso a la interfaz gráfica de

usuario, la eliminación de la regla anti-bloqueo bloqueará el acceso a la interfaz gráfica de usuario, lo que podría dejar el administrador sin un medio para alcanzar el cortafuego.

Nota: Restablecimiento de la dirección IP de la LAN de la consola del sistema también se restablece la regla anti-bloqueo. Si el acceso administrativo está bloqueada después
de habilitar esto, elija la opción de menú de la consola 2, luego optar por configurar la dirección IP de la LAN, y entrar en la misma dirección IP exacta y la información adjunta.

Comprobar DNS Rebind

Los bloques fi cortafuego privadas respuestas de direcciones IP de los servidores DNS configurada con fi por defecto, para prevenir ataques de revinculación DNS. Marque esta

casilla para desactivar la protección de revinculación DNS si interfiere con WebCon Fi gurator o resolución de nombres.

Ver también:

Más detalles sobre los ataques de revinculación DNS puede encontrar en Wikipedia .

El caso más común para la desactivación de esto sería cuando el cortafuego está configurado para utilizar un servidor DNS interno que devolverá respuestas
(RFC1918) privados de nombres de host. Al acceder al cortafuego por dirección IP, estos controles no se aplican porque el ataque sólo es relevante cuando se utiliza
un nombre de host.

Propina: En lugar de desactivar todas las protecciones de revinculación DNS, se puede desactivar de forma selectiva en función de cada dominio en el Resolver DNS o
DNS Forwarder. Ver De resolución de DNS y DNS Protección Revinculación y DNS y DNS Forwarder Protección Revinculación .

7.6. Opciones avanzadas de Con fi guración 77

El libro pfSense, Liberación

HTTP_REFERER aplicación de navegador

La interfaz gráfica de usuario comprueba la URL de referencia cuando se accede a prevenir una forma en otro sitio de la presentación de una solicitud al cortafuego, el cambio de una

opción cuando el administrador no tenía la intención de que eso ocurra. Esto también rompe algunos comportamientos deseables conveniencia, tales como tener una página que vincula a

varios dispositivos de fi cortafuego. Para desactivar este comportamiento, compruebe Desactivar la comprobación de la aplicación de HTTP_REFERER.

Los nombres de host alternativos

Mantener Los cheques Vuelva a vincular DNS y Aplicación HTTP_REFERER activo, pero controlar su comportamiento ligeramente, llenar en

Los nombres de host alternativos en el cuadro. Por defecto, el sistema permitirá el acceso a la fi nombre de host con gurado en el cortafuego y todas las direcciones IP con fi gura en el

cortafuego. Adición de nombres de host en este campo permitirá a los nombres de host que se utilizarán para el acceso y la interfaz gráfica de usuario para hacer referencia propósitos URL.

Man-in-the-middle / advertencia

Si un navegador intenta acceder a la interfaz gráfica de usuario con una dirección IP que no está con fi gurado en el cortafuego, tal como un puerto hacia delante de otro fi
cortafuegos, un mensaje será impreso que indica que el acceso al cortafuego puede verse comprometida debido a un Hombre-In -La-Middle (MITM) ataque.

Si un desvío de tales fue deliberadamente con fi gurada en el cortafuego o en un fi cortafuegos delante de éste, el mensaje puede ser ignorado. Si el acceso al cortafuego debería

haber sido directa, a continuación, tener mucho cuidado antes de iniciar sesión para asegurar las credenciales de acceso no se enrutan a través de un sistema que no se confía. El

acceso no está deshabilitada en este caso, sólo una advertencia, por lo que no hay ninguna opción para desactivar este comportamiento.

Ficha del examinador texto

Por defecto, el cortafuegos fi interfaz gráfica de usuario imprime el nombre de host fi cortafuegos primera en el título de la página / ficha, seguido del nombre de la página. Para revertir este

comportamiento y mostrar el primer nombre de la página y segundo nombre de host, cheque la página de visualización del nombre en la primera pestaña del navegador.

Los administradores que tienen acceso a muchos rewalls fi al mismo tiempo en pestañas separadas tienden a preferir tener el primer nombre de host fi (por defecto). Los administradores que

tienen acceso a un cortafuego con muchas páginas en pestañas separadas tienden a preferir tener el nombre de primera página.

Secure Shell (SSH)

El servidor Secure Shell (SSH) se puede habilitar que permite acceso a la consola remota y gestión del archivo. Un usuario puede conectar con cualquier cliente SSH estándar,

como el cliente de línea de comandos ssh OpenSSH, masilla, SecureCRT o iTerm. Para acceder a la cuenta de administrador, o bien el administración nombre de usuario o raíz cuenta

puede ser utilizada, y ambos aceptan la contraseña de administrador WebGUI de inicio de sesión.

Los usuarios en el Administrador de usuarios que tienen el Usuario - sistema - acceso a la cuenta de Shell privilegio también se lowed al- iniciar sesión a través de ssh.
Estos usuarios no tienen privilegios de acceso raíz, y no se imprimen en el menú al iniciar la sesión debido a que muchas de las opciones requieren privilegios de root.

Propina: Para conceder a los usuarios privilegios de concha adicionales, utilice el sudo paquete.

Las transferencias de archivos desde y hacia el fi cortafuegos pfSense también son posibles mediante el uso de un cliente de Secure Copy (SCP), como línea de comandos de OpenSSH SCP,

FileZilla, WinSCP o Fugu. Para utilizar SCP, conecte como el raíz usuario, no administración. Si un usuario tiene la costumbre Usuario - sistema - Copiar archivos permiso, o todos los

accesos, entonces ellos también pueden utilizar SCP.

78 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Propina: clientes SSH deben mantenerse actualizados. Conforme pasa el tiempo, las normas de seguridad evolucionan y la configuración del servidor SSH utilizados por pfSense
cambiarán. Los clientes que han sido superados pueden no ser capaces de conectarse a través de las claves de seguridad fuertes y algoritmos requeridos por sshd en pfSense. Si un
cliente no se conecta, comprobar si hay una actualización del proveedor.

Activar Secure Shell

Para habilitar el demonio SSH, comprobar Activar Secure Shell. Después de guardar con esta opción activada, el cortafuego va a generar claves SSH si no
están ya presentes y luego iniciar el demonio SSH.

método de autentificación

SSH puede ser con fi gurado a sólo permiten inicios de sesión basados ​en clave y no una contraseña. inicios de sesión basados ​en clave son una práctica mucho más seguro, aunque sí tener una

mayor preparación para con fi gura. Para forzar la autenticación basada en claves, compruebe contraseña de inicio de sesión para deshabilitar Secure Shell.

Las claves de usuario de inicio de sesión basado en claves se agregan mediante la edición de los usuarios en el UserManager ( Gestión de usuarios y autenticación ). Al editar un

usuario, pegue las claves públicas permitidos en el llaves autorizadas texto de campo por su cuenta.

Puerto SSH

Al mover el servidor SSH a un puerto alternativo proporciona una mejora insignificante de seguridad, y libera el puerto para otros usos. Para cambiar el puerto,
escriba el nuevo puerto en el Puerto SSH caja.

Propina: escáneres de fuerza bruta SSH se centran en golpear el puerto TCP 22, pero si el demonio está abierto a Internet en otro puerto, con el tiempo serán encontrados y
golpeados por los escáneres.

Las mejores prácticas para SSH

Si esto cortafuego se instala en un entorno que requiere dejando el acceso SSH sin restricciones por las reglas de cortafuego, lo cual es peligroso, se recomienda

encarecidamente mover el servicio SSH a un puerto aleatorio alternativo y forzando la autenticación basada en clave. Pasando a un puerto alternativo evitará que ingrese el

ruido de muchos, pero no todos, de fuerza bruta los intentos de inicio de sesión SSH y exploraciones ocasionales. Todavía se puede encontrar con un escaneo de puertos,

por lo que el cambio a la autenticación basada en clave siempre debe hacerse en cada servidor SSH de acceso público para eliminar la posibilidad de éxito de los ataques de

fuerza bruta. Múltiples intentos fallidos de acceso desde la misma dirección IP resultará en el bloqueo a cabo la dirección IP intentar autenticar, pero que por sí sola no se

considera la protección su fi ciente.

Comunicaciones serie

Si pfSense se ejecuta en hardware sin un monitor o si va a correr “sin cabeza” (sin teclado y vídeo adjunto), entonces la consola serie se puede
habilitar para mantener el control físico, siempre que el hardware tiene un puerto serie (no USB ).

Si se detecta el hardware que no tiene un puerto VGA, la consola serie es forzado dentro y no se puede desactivar, y las opciones de serie están todos ocultado a excepción
de la velocidad.

7.6. Opciones avanzadas de Con fi guración 79

El libro pfSense, Liberación

Terminal de serie

Cuando Terminal de serie se establece, la consola está habilitada en el puerto serie primero. Esta consola recibirá los mensajes de arranque del núcleo y un menú después
de que el cortafuego tiene el arranque terminado. Esto no va a desactivar la consola del teclado y vídeo a bordo.

Para conectar a la consola serie, utilice un cable de módem nulo conectado a un puerto serie o el adaptador en otro PC o dispositivo serie.

Ver también:

Para obtener más información sobre la conexión a una consola serie, véase Conexión a una consola serie y Iniciar un cliente de serie .

Al realizar cualquier cambio en la consola serie, el cortafuego se debe reiniciar antes de que entren en vigor.

Serie velocidad de la consola

La velocidad de la consola en serie por defecto es 115200 bps y casi todo el hardware funciona bien a esa velocidad. En raros casos, puede ser necesaria una velocidad más

lenta que se puede establecer aquí escogiendo la velocidad deseada de la velocidad de serie desplegable. Al actualizar desde una versión anterior, esta puede permanecer en un

valor mayor como 9600 o 38400 para que coincida con el BIOS en hardware antiguo. El aumento de la velocidad de 115200 es casi siempre seguro y más útil que las velocidades

más lentas.

Consola primaria

En el hardware tanto con la consola serie habilitado y un puerto VGA disponible, la Consola primaria selector elige cuál es la consola preferida, por lo que recibirá los
mensajes de registro de arranque de pfSense. Otros mensajes del kernel del sistema operativo se mostrarán en todas las conexiones de la consola, y ambas consolas
tendrán un menú utilizable.

En los casos en que el arranque no puede completar, la consola preferida debe ser utilizado para resolver el problema, tales como interfaces de reasignación.

menú de la consola

Normalmente, el menú de la consola se muestra siempre en la consola del sistema, y ​el menú estará disponible siempre y cuando alguien tiene acceso físico a la
consola. En entornos de alta seguridad esto no es deseable. Esta opción permite que la consola ser protegido por contraseña. El mismo nombre de usuario y
contraseña se pueden usar aquí que se utiliza para la WebGUI. Después de configurar esta opción, el cortafuego se debe reiniciar antes de que entre en vigor.

Nota: Aunque esto va a dejar de oprimir accidentalmente una tecla y mantener alejados a los usuarios ocasionales, esto es de ninguna manera un método de seguridad perfecta. Una
persona con conocimientos con acceso físico todavía puede restablecer las contraseñas (véase Contraseña olvidada con una consola Bloqueado ). Considerar otros métodos de seguridad
física si la seguridad de la consola es un requisito.

Firewall / NAT Tab

servidor de seguridad avanzada

compatibilidad IP Do-Not-Fragmento

Esta opción es una solución alternativa para los sistemas operativos que generan paquetes fragmentados con la no fragmentar (DF) conjunto de bits. Linux NFS (Network
File System) es conocido por ello, así como algunos sistemas de VoIP.

80 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Cuando esta opción está activada, el cortafuego no caerá estos paquetes mal formados, sino que la clara no fragmentar bits. El cortafuego también de forma aleatoria la IP
identificación de campo de los paquetes salientes para compensar los sistemas operativos que establecen el bit DF, pero establecen una identificación de cabecera de campo
cero IP.

la generación de IP ID aleatorio

Si Insertar un ID más fuerte en la cabecera IP de los paquetes que pasan a través del filtro se comprueba el cortafuego reemplaza el IP identificación campo de paquetes
con valores aleatorios para compensar los sistemas operativos que usan valores predecibles. Esta opción sólo se aplica a los paquetes que no están fragmentados
después del reensamblaje de paquetes opcional.

Opciones de optimización de firewall

El modo de optimización controla cómo el cortafuego expira entradas de la tabla de estado:

Normal El algoritmo de optimización estándar, que es óptimo para la mayoría de los entornos.

Alta latencia Se utiliza para enlaces de alta latencia, tales como enlaces por satélite. Expira conexiones inactivas a más tardar

defecto.

Agresivo Expira conexiones inactivas más rápido. Más e fi ciente el uso de CPU y memoria, pero puede caer legit-
imate conexiones antes de lo esperado. Esta opción también puede mejorar el rendimiento en las implementaciones de alta trá fi co con una gran

cantidad de conexiones, tales como servicios web.

Conservador Trata de evitar la caída de las conexiones legítimas a expensas de un aumento de la memoria
el uso y la utilización de la CPU. Puede ayudar en entornos que requieren conexiones UDP de larga vida, pero sobre todo de inactividad, tales como

VoIP.

Desactivar el firewall

Cuando Desactivar todos fi ltrado de paquetes se establece, la fi cortafuegos pfSense se convierte en una plataforma de sólo enrutamiento. Esto se acompa- plished deshabilitando PF por

completo, y como consecuencia, NAT está desactivado, ya que también está a cargo de pf.

Propina: Deshabilitar solamente NAT, no utilice esta opción. Consultar Desactivación de salida NAT para más información sobre el control del comportamiento de NAT saliente.

Desactivar Firewall Scrub

Cuando se establece, la opción de lavado en PF está desactivado. los fregar en la acción PF puede interferir con NFS, y en casos raros, con VoIP tráfico c
también. Por defecto, utiliza el pfSense Vuelva a montar fragmento opción, que vuelve a ensamblar los paquetes fragmentados antes de enviarlos a su
destino, cuando sea posible. Más información sobre el fregar
característica de PF se pueden encontrar en la Documentación OpenBSD PF Scrub .

Nota: Desactivación fregar También desactiva otras características que dependen de fregar para funcionar, como compensación bit DF y la aleatorización ID.
Desactivación fregar no desactive MSS de sujeción si está activo para VPNs, o cuando un valor de MSS es con fi gurado en una interfaz.

Tiempos de espera del servidor de seguridad adaptativos

Tiempos de espera de adaptación manejo en estado de control PF cuando la tabla de estado está casi llena. Usando estos tiempos de espera, un administrador de fi cortafuegos puede

controlar cómo los estados han caducado o se purgan cuando hay poco o ningún espacio restante para almacenar nueva

7.6. Opciones avanzadas de Con fi guración 81

El libro pfSense, Liberación

estados de conexión.

Tiempos de espera de adaptación están activadas por defecto y los valores por defecto se calcula automáticamente en función de la fi con gurado

Firewall Unidos Máxima valor.

Inicio adaptativo escalamiento de adaptación se inicia una vez que la tabla de estado alcanza este nivel, expresado como un número

de los estados. Inicio adaptativo por defecto es 60% de Firewall Unidos máxima. Fin de adaptación Cuando el tamaño de la tabla de estado

alcanza este valor, expresado como un número de tabla de estado

entradas, todos los valores de tiempo de espera se supone que son cero, lo que hace que pf para purgar todas las entradas de estado inmediata- mente.

Esta configuración define el factor de escala, que debe ser mayor que el número total de estados permitidos. Fin de adaptación por defecto es 120% de Firewall

Unidos máxima.

Cuando el número de estados de conexión excede el umbral fijado por Adaptativo Inicio, Los valores de tiempo de espera se escalan linealmente con el factor basado en
howmany se utilizan estados entre el inicio y el recuento de estado final. El factor de ajuste de tiempo de espera se calcula de la siguiente manera: (número de estados hasta
que la Fin de adaptación valor que se alcanza) / (diferencia entre el Fin de adaptación y Inicio adaptativo valores).

Nota: Como ejemplo, considere un cortafuego con Inicio adaptativo ajustado a 600000, Fin de adaptación ajustado a 1200000 y
Firewall Unidos Máxima ajustado a 1.000.000. En esta situación, cuando los tramos de tamaño de tabla de estado 900000 entradas de los tiempos de espera del estado serán escalados

a 50% de sus valores normales.

(1.200.000 - 900.000) / (1.200.000 - 600.000) = 300.000 / 600.000 = 0,50, 50%

Continuando con el ejemplo, cuando la tabla de estado es completo en 1.000.000 estados los valores de tiempo de espera se reducirán a un tercio de sus valores originales.

Firewall Unidos Máxima

Este valor es el número máximo de conexiones que el cortafuego puede albergar en su tabla de estados. El tamaño predeterminado se calcula sobre la base de 10% de RAM

total. Este valor por defecto es su fi ciente para la mayoría de las instalaciones, pero se puede ajustar más o menos dependiendo de la carga y la memoria disponible.

Cada estado consume aproximadamente 1 KB de memoria RAM, o aproximadamente 1 MB de RAM por cada 1000 estados. El cortafuego debe tener memoria RAM libre

adecuado para contener toda la tabla de estado antes de aumentar este valor. estados del servidor de seguridad se discuten en El filtrado stateful .

Propina: En un cortafuego con 8 GB de RAM la tabla de estado tendría un tamaño predeterminado de aproximadamente 800.000 estados. Una costumbre Firewall Unidos
Máxima valor de 4.000.000 consumiría aproximadamente 4 GB de RAM, la mitad del total de 8 GB disponibles.

Firewall entradas de tabla de máximos

Este valor define el número máximo de entradas que pueden existir en el interior de las tablas de direcciones utilizadas por el cortafuego para las colecciones de direcciones como

alias, registros ssh / GUI de bloqueo, los anfitriones bloqueados por alertas de Snort, y así sucesivamente. Por defecto es de 200.000 entradas. Si el cortafuego tiene

características habilitadas que puede cargar grandes bloques de espacio de direcciones en alias como alias URL de tabla o el paquete pfBlocker, a continuación, aumentar este

valor para cómodamente incluir al menos el doble de la cantidad total de entradas contenidas en todos los alias combinados.

Firewall máxima Fragmento entradas

Cuando se habilita fregar el cortafuego mantiene una tabla de fragmentos de paquete en espera de ser vuelto a montar. Por defecto esta tabla puede contener fragmentos
de 5000. En casos raros una red puede tener una tasa inusualmente alta de paquetes fragmentados que

82 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

puede requerir más espacio en esta tabla. Cuando se alcanza este límite, el siguiente mensaje de registro aparecerá en el registro de sistema principal:

kernel: [Zona: entradas de fragmentación PF] entradas de fragmentación PF alcanzado el límite

Filtrado de rutas estáticas

los reglas fi cortafuego bypass para tráfico c en la misma interfaz opción se aplica si el cortafuego tiene una o más rutas estáticas de fi nido. Si esta opción está
activada, trá fi co que entra y sale a través de la misma interfaz no se comprobará por el cortafuego. Esto puede ser necesario en situaciones en que varias
subredes están conectadas a la misma interfaz, para evitar el bloqueo tráfico c que se pasa a través del cortafuego en una única dirección debido a enrutamiento
asimétrico. Ver Derivación de reglas de firewall para trá fi co en una misma interfaz para una discusión más a fondo sobre ese tema.

Desactivar reglas VPN añadido Auto

Por defecto, cuando IPsec está habilitado reglas fi cortafuego se añaden automáticamente a la interfaz adecuada que permitirá el túnel de establecer. Cuando Desactivar
reglas VPN añadido Auto está marcada, el cortafuego no añadirá automáticamente estas normas. Al desactivar estas reglas automáticas, el administrador fi cortafuegos
tiene control sobre lo que se les permite dos direcciones para conectarse a una VPN. Para más información sobre estas reglas se puede encontrar en VPN y reglas del
cortafuegos .

Responder a desactivar

En amulti-WAN con fi guración del cortafuego tiene un comportamiento por defecto fi benéfico que asegura trá fi co sale de la misma interfaz que llegó a través. Esto
se logra usando la palabra clave PF responder a que se añade automáticamente a la interfaz reglas cortafuego pestaña fi para interfaces de tipo WAN. Cuando una
conexión coincide con una regla responder a, el cortafuego recuerda el camino a través del cual se realizó la conexión y rutas fi respuesta el tráfico de nuevo a la puerta
de entrada para esa interfaz c.

Propina: las interfaces de tipo WAN son interfaces que tienen un conjunto de puerta de enlace en su Interfaces Menú de entrada de con fi guración, o interfaces que tienen una
puerta de enlace dinámico, como DHCP, PPPoE, o asignado OpenVPN, GIF o interfaces de GRE.

En situaciones como puente, este comportamiento no es deseable si la dirección IP WAN puerta de entrada es diferente de la dirección de puerta de enlace IP de los hosts
detrás de la interfaz de puente. Desactivación responder a permitirá a los clientes comunicarse con la pasarela adecuada.

Otro caso que tiene problemas con responder a implica el enrutamiento estático a otros sistemas en una subred más grande WAN. invalidante responder a en este caso sería
ayudar a asegurar que las respuestas vuelven al router adecuado en lugar de ser redirigida hacia la puerta de entrada.

Este comportamiento también se puede desactivar en las reglas fi cortafuego individuales más que a nivel mundial el uso de esta opción.

Desactivar reglas Negate

En una multi-WAN con fi guración de trá fi co de redes conectadas directamente y redes VPN normalmente debe todavía fluir correctamente cuando se utiliza la política de
enrutamiento. pfSense insertará reglas para pasar este tráfico VPN local y fi c sin una puerta de enlace específica ed, para mantener la conectividad. En algunos casos, estas
reglas de negación pueden coincidir sobre-tra fi co y permitir que más de lo previsto.

Propina: Se recomienda crear reglas de negación manuales en la parte superior de las interfaces internas, tales como LAN. Estas reglas deben pasar a destinos locales y VPN sin una
puerta de entrada fijado en la norma, en honor a la tabla de enrutamiento del sistema. Estas reglas no tienen que estar en la cima de las normas de interfaz, pero deben estar por encima
de las reglas que tienen un conjunto de puerta de enlace.

7.6. Opciones avanzadas de Con fi guración 83

El libro pfSense, Liberación

Alias ​de nombres de host Resolver Intervalo

Esta opción controla la frecuencia con nombres de host en los alias se resuelven y actualizados por el filterdns demonio. Por defecto es 300 segundos (5 minutos). En Con
fi guración con un pequeño número de nombres de host o un servidor DNS / baja carga rápida, disminuir este valor para recoger los cambios más rápido.

Compruebe Certi fi cado de direcciones URL Alias

Cuando Verificar HTTPS certi fi cados al descargar alias URL se establece, el cortafuego requerirá un HTTPS certi fi cado válido para los servidores web utilizados en
los alias de tabla URL. Este comportamiento es más seguro, pero si el servidor web es privada y usa un certi fi cado autofirmado, puede ser más conveniente hacer
caso omiso de la validez del certi fi cado y permitir que los datos sean descargados.

Advertencia: Siempre recomendamos el uso de un certi fi cado del servidor con una cadena válida de confianza para este tipo de papel, en lugar de debilitar la seguridad al

permitir que un certificado autofirmado.

Bogon Redes

los Frecuencia de actualización desplegable para Bogon Redes controla la frecuencia de actualización de estas listas. Más informa- ción en las redes Bogon puede
encontrarse en redes de bloques Bogon .

Traducción de Direcciones de Red

NAT La reflexión de puerto reenvía

los NAT Re modo de reflexión para los delanteros del puerto opción controla cómo se aplica NAT reflexión es manejado por el cortafuego. Estos NAT redirigir reglas permiten a los

clientes acceder puerto remite utilizando las direcciones IP públicas sobre el cortafuego desde dentro de las redes internas locales.

Ver también:

Referirse a NAT La reflexión para una discusión sobre el fondo de NAT La reflexión cuando se compara con otras técnicas tales como DNS dividido.

Hay tres modos posibles de NAT La reflexión:

Discapacitado El valor por defecto. Cuando se desactiva, puerto remite sólo son accesibles desde WAN y no de
dentro de las redes locales.

pura NAT Este modo utiliza un conjunto de reglas de NAT para dirigir paquetes al destino del puerto hacia delante. tiene
mejor escalabilidad, pero debe ser posible determinar con precisión la dirección de la interfaz y la puerta de enlace IP utilizado para la comunicación
con el objetivo en el momento se cargan las reglas. No hay límites inherentes al número de puertos que no sean los límites de los protocolos. Todos
los protocolos disponibles para los delanteros de puertos son compatibles.

Cuando se activa esta opción, Automático de salida NAT para la reflexión También debe habilitarse si los clientes y los servidores
están en la misma red local.

NAT + Proxy NAT + Proxy modo utiliza un programa de ayuda para enviar paquetes a la meta del puerto hacia delante.
La conexión es recibida por la re fl exión demonio y actúa como un proxy, creando una nueva conexión con el servidor local. Este
comportamiento se pone una carga mayor en el cortafuego, pero es útil en configuraciones donde la interfaz y / o la dirección IP de la
pasarela se utiliza para la comunicación con el objetivo no puede determinarse con precisión en el tiempo se cargan las reglas. NAT + Proxy re
fl exión reglas no se crean para los rangos

84 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

mayor de 500 puertos y no será utilizado durante más de 1000 puertos en total entre todos los desvíos de puerto. Sólo hacia delante del puerto TCP
son compatibles.

reglas NAT individuales tienen la opción de anular el NAT mundial reflexión con fi guración, por lo que pueden tener NAT reflexión forzado dentro o fuera sobre
una base caso por caso.

Reflexión Tiempo de espera

los Reflexión Tiempo de espera ajuste de fuerza a un tiempo de espera en las conexiones realizadas al realizar NAT reflexión para los delanteros del puerto de NAT + Proxy modo.
Si las conexiones se quedan abiertos y recursos que consumen, esta opción puede mitigar este problema.

NAT La reflexión de 1: 1 NAT

Cuando se activa, esta opción agrega re fl adicional normas exión que permiten el acceso a 1: 1 asignaciones de vestidos ad-IP externas de las redes internas.

Esto proporciona la misma funcionalidad que ya existe para los delanteros del puerto, pero para 1: 1 NAT. Hay escenarios de enrutamiento complejas que

pueden hacer que esta opción ineficaz. Esta opción sólo afecta a la entrante ruta de 1: 1 NAT, no saliente. El estilo regla subyacente es similar a la pura NAT Modo

de puerto remite. Al igual que con puerto remite, hay opciones por entrada para anular este comportamiento.

Automático de salida NAT para la reflexión

Cuando se activa, esta opción crea automáticamente reglas NAT salientes que ayudan reglas reflexión que dirigen trá fi co de vuelta a la misma subred desde la que
se originó. Estas reglas adicionales permiten puro NAT y 1: 1 NAT reflexión a funcionar plenamente cuando los clientes y los servidores están en la misma subred. En
la mayoría de los casos, esta casilla debe estar marcada para NAT reflexión a trabajar.

Nota: Este comportamiento es necesario porque cuando los clientes y servidores se encuentran en la misma subred, la fuente c fi tráfico se debe cambiar para que
la conexión parece originarse desde el cortafuego. De lo contrario, el retorno de trá fi co pasará por alto el cortafuego y la conexión no tendrá éxito.

TFTP Proxy

El built-in de proxy TFTP se pueden citar las conexiones del poder a los servidores TFTP fuera del cortafuego, de modo que las conexiones de clientes a
servidores remotos TFTP. Ctrl-clic o shift-clic para seleccionar varias entradas de la lista. Si se eligen ninguna interfaz, el servicio TFTP proxy está desactivada.

Tiempos de espera estatales

los Tiempo de espera de estado sección permite definir un ajuste de los tiempos de espera de estado para varios protocolos. Estos son típicamente manejados automáticamente por el

cortafuego y los valores son dictadas por el Opciones de optimización de firewall Opciones. En casos raros, estos tiempos de espera pueden necesitar ajustado hacia arriba o hacia abajo para

dar cuenta de las irregularidades en el comportamiento del dispositivo o necesidades de sitio-específico. Todos los valores se expresan en segundos, y controlar la duración de una conexión en

ese estado se retiene en la tabla de estado.

Ver también:

La información en las siguientes opciones Referencia condiciones de estado cortafuego como se describe en Interpretación Unidos .

En primer lugar TCP El primer paquete de una conexión TCP.

7.6. Opciones avanzadas de Con fi guración 85

El libro pfSense, Liberación

Apertura TCP El estado antes de que el host de destino ha respondido (por ejemplo, SYN_SENT: CERRADO).

TCP establecida Una conexión TCP establecida en el que el enlace de tres vías se ha completado.

Cierre TCP Un lado ha enviado un paquete TCP FIN.

TCP FINWait Ambas partes han intercambiado paquetes FIN y la conexión se está cerrando. Algunos
servidores pueden continuar enviando paquetes durante este tiempo.

TCP cerrada Un lado ha enviado un restablecimiento de conexión de paquetes (TCP RST).

En primer lugar UDP El paquete UDP primera de una conexión se ha recibido.

UDP individual El anfitrión fuente ha enviado un solo paquete pero el destino no ha respondido (por ejemplo,
INDIVIDUAL: NO_TRAFFIC).

múltiple UDP Ambas partes han enviado paquetes.

En primer lugar ICMP Un paquete ICMP se ha recibido.

ICMP de error Un error ICMP se ha recibido en respuesta a un paquete ICMP.

Otro Primero, otra individual, otra Múltiple Lo mismo que UDP, pero para otros protocolos.

pestaña redes

Opciones IPv6

Permitir IPv6

Cuando el Permitir IPv6 opción no está marcada, todos IPv6 trá fi co será bloqueado.

Esta opción está activada de forma predeterminada en las nuevas configuraciones fi para que el cortafuego es capaz de transmitir y recibir tráfico IPv6 c si las reglas
permiten que pase. Esta opción controla un conjunto de reglas de bloqueo que impiden IPv6 tráfico c de ser manejado por el cortafuego para permitir la compatibilidad
con fi guraciones importados de o actualizado de versiones de pfSense mayores de 2,1.

Nota: Esta opción no desactiva las funciones IPv6 o evitar que sea con fi gurado, que sólo controla trá fi co flujo.

IPv6 sobre IPv4 de túnel

los Habilitar IPv4 NAT encapsulación de paquetes IPv6 opción permite protocolo IP 41 / RFC 2893 de reenvío a una dirección IPv4 especificados en el dirección
IP campo.

Cuando con fi gurado, este reenvía todas las llamadas entrantes protocolo 41 / IPv6 trá fi co a un host detrás de esta fi cortafuegos en vez de manejar de forma local.

Propina: La activación de esta opción no añadir reglas fi cortafuego para permitir el protocolo 41 de trá fi co. Una regla debe existir en la interfaz WAN para permitir que el
tráfico pase a través de c para el host receptor local.

Prefiero IPv4 sobre IPv6

Cuando se establece, esta opción hará que el cortafuego sí mismo preferir el envío de trá fi co con direcciones IPv4 en lugar de IPv6 anfitriones cuando una consulta DNS devuelve los resultados

para ambos.

86 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

En casos excepcionales cuando el cortafuego ha configurada parcialmente con fi, pero no totalmente enrutados, IPv6 esto puede permitir que el cortafuego para continuar llegando a los servidores

de Internet a través de IPv4.

Nota: Esta opción controla el comportamiento de la ficción en sí, tales como cortafuegos cuando hay actualizaciones de votación, la instalación de paquetes, reglas de descarga, y traer
otros datos. Que no puede influir en el comportamiento de los clientes detrás del cortafuego.

Interfaces de red

sondeo dispositivo

Advertencia: polling dispositivo tiene un efecto perjudicial en el hardware moderno y es innecesario, disminuyendo Mance perfor- y causando varios
problemas. La opción se ha quitado de pfSense partir de la versión 2.4.

sondeo dispositivo es una técnica que permite que el sistema periódicamente los dispositivos de red de la encuesta para los nuevos datos en lugar de depender de las interrupciones.

Esto evita que el WebGUI cortafuego, SSH, etc. de ser inaccesible debido a interrumpir inundaciones cuando está bajo carga extrema, a costa de una mayor latencia. La necesidad

de la votación ha sido prácticamente eliminado gracias a los avances del sistema operativo y los métodos más e fi ciente de tratamiento de interrupciones, tales como MSI / MSIX.

Nota: Con el sondeo activada, aparecerá el sistema para utilizar el 100% de la CPU. Esto es normal, ya que el subproceso de sondeo es el uso de la CPU para buscar paquetes. El hilo de
votación se ejecuta con una prioridad inferior, de modo que si otros programas necesitan tiempo de CPU, será renunciar a ella, según sea necesario. El inconveniente es que esta opción
hace que el gráfico de la CPU menos útil.

Hardware suma de comprobación del oading fl

Cuando se activa, esta opción deshabilita la suma de comprobación de hardware de oading fl en las tarjetas de red. Suma de comprobación de oading fl suele ser beneficioso, ya que

permite la suma de comprobación que se calcula (saliente) o veri fi (entrante) en el hardware a un ritmo mucho más rápido de lo que podría ser manejado por software.

Nota: Cuando se habilita la suma de comprobación de oading fl, una captura de paquetes verá vacío (todo cero) o pabellón sumas de comprobación de paquetes incorrectos. Estos son usuales
para la manipulación de suma de control está sucediendo en el hardware.

Suma de comprobación de oading fl se rompe en algún hardware, en especial tarjetas Realtek y tarjetas virtuales / emulados como los relativos a Xen / KVM. Los síntomas
típicos de la suma de comprobación roto de oading fl incluyen paquetes y un rendimiento deficiente rendimiento dañados.

Propina: En los casos de virtualización como Xen / KVM puede ser necesario desactivar la suma de comprobación de oading fl en el host, así como la máquina virtual. Si el rendimiento es aún
pobre o tiene errores en este tipo de máquinas virtuales, cambiar el tipo de tarjeta de red, si es posible.

TCP hardware segmentación de oading fl

Al activar esta opción desactivará el hardware TCP segmentación de fl oading (TSO, TSO4, TSO6). TSO hace que el NIC para manejar paquetes de separarse en trozos de

tamaño MTU en lugar de la manipulación que a nivel de sistema operativo. Esto puede ser más rápido para servidores y aparatos, ya que permite que el sistema operativo de fl

OAD esa tarea a un hardware dedicado, pero cuando actúa como un cortafuego o enrutador este comportamiento es altamente indeseable ya que en realidad aumenta la carga

ya que esta tarea ya se ha realizado en otras partes de la red, rompiendo así el principio de extremo a extremo mediante la modificación de los paquetes que no se originaron en

este host.

7.6. Opciones avanzadas de Con fi guración 87

El libro pfSense, Liberación

Advertencia: Esta opción no es deseable para los routers y rewalls fi, pero puede beneficiarse estaciones de trabajo y los electrodomésticos. Se está desactivado por defecto, y debe

permanecer desactivado a menos que el cortafuego está actuando principalmente o exclusivamente en un papel Ance / punto final muy favorable.

No desactive esta opción a menos que lo indique expresamente por un representante de soporte. Este oading de fl se rompe en algunos controladores de hardware, y puede

afectar negativamente al rendimiento de las tarjetas de red y las funciones afectadas.

Hardware grande de recepción del oading fl

Al activar esta opción desactivará hardware de gran reciben de oading FL (LRO). LRO es similar a TSO, pero por el camino de entrada en lugar de saliente. Se permite
a la NIC recibir un gran número de paquetes más pequeños antes de pasarlos al sistema operativo como un trozo más grande. Esto puede ser más rápido para
servidores y aparatos, ya que de fl OAD lo que normalmente sería una tarea de procesamiento pesado a la tarjeta de red. Cuando actúa como un cortafuego o
enrutador esto es altamente indeseable ya que retrasa la recepción y envío de paquetes que no están destinados de este alojamiento, y que tendrá que ser dividido de
nuevo otra vez en el camino de ida, el aumento de la carga de trabajo de forma significativa y romper el principio de extremo a extremo.

Advertencia: Esta opción no es deseable para los routers y rewalls fi, pero puede beneficiarse estaciones de trabajo y los electrodomésticos. Se está desactivado por defecto, y debe

permanecer desactivado a menos que el cortafuego está actuando principalmente o exclusivamente en un papel Ance / punto final muy favorable.

No desactive esta opción a menos que lo indique expresamente por un representante de soporte. Este oading de fl se rompe en algunos controladores de hardware, y puede

afectar negativamente al rendimiento de las tarjetas de red y las funciones afectadas.

Suprimir los mensajes ARP

El cortafuego hace una entrada de registro en el registro del sistema principal cuando aparece una dirección IP para cambiar a una dirección MAC diferente. Esta entrada de
registro señala que el dispositivo se ha movido direcciones, y registra la dirección IP y las viejas y nuevas direcciones MAC.

Este evento puede ser un comportamiento completamente benigna (por ejemplo, la agrupación de NIC en un servidor de Microsoft, un dispositivo que está siendo sustituido) o un

problema del cliente legítimo (por ejemplo, IP conflicto), y podría aparecer constantemente o rara vez o nunca. Todo depende del entorno de red.

Recomendamos permitir estos mensajes ARP a ser impresos para iniciar la sesión, ya que hay una posibilidad de que reportará un problema digno de la atención de un
administrador de red. Sin embargo, si el entorno de red contiene sistemas que generan estos mensajes mientras se opera con normalidad, suprimiendo los errores pueden
hacer que el registro del sistema más útil, ya que no va a estar atestado de mensajes de registro que no sean necesarios.

Ficha Varios

El soporte de proxy

Si este fi cortafuegos reside en una red que requiere un proxy para acceder a Internet saliente, introduzca las opciones de proxy en esta sección para que las solicitudes del
cortafuego para artículos tales como paquetes y actualizaciones se enviarán a través del proxy.

URL del proxy

Esta opción especi fi ca la ubicación del proxy para realizar las conexiones externas. Debe ser una dirección IP o un nombre de dominio totalmente calificado fi cado.

88 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Puerto proxy

El puerto a usar cuando se conecta a la URL del proxy. Por defecto es el puerto 8080 para las direcciones URL de proxy HTTP, y 443 para las direcciones URL de proxy SSL. El puerto

está determinada por el proxy, y puede ser un valor diferente del todo (por ejemplo, 3128). Consulte con el administrador del proxy para hallar el valor del puerto adecuado.

Nombre de usuario de proxy

Si es necesario, este es el nombre de usuario que se envía para la autenticación de proxy.

Contraseña de proxy

Si es necesario, esta es la contraseña asociada con el nombre de usuario establecido en la opción anterior.

Balanceo de carga

Conexiones pegajosas

Cuando pfSense se dirige a realizar el equilibrio de carga, las conexiones sucesivas serán redirigidos de manera round-robin a un servidor web o puerta de enlace, el
equilibrio de la carga en todos los servidores o caminos disponibles. Cuando Conexiones pegajosas está activo se cambia este comportamiento para que las conexiones de la
misma fuente se envían al mismo servidor web o a través de la misma puerta de enlace, en lugar de ser enviado de una forma round-robin puramente.

Conexiones pegajosas afecta el equilibrio tanto de carga saliente (Multi-WAN), así como el equilibrio de carga de servidor cuando ES- abled. Esta asociación “pegajosa”

existirá siempre que los estados están en la tabla para las conexiones desde una dirección de origen dado. Una vez que los estados para esa fuente de expirar, también

lo hará la asociación pegajosa. Más conexiones desde que host de origen serán redirigidos al siguiente servidor web en la piscina o en la siguiente puerta de enlace

disponible en el grupo. Para fi tráfico saliente c usando un grupo de puerta de enlace de equilibrio de carga, la asociación pegajosa es entre el usuario y una puerta de

enlace. Mientras la dirección local tiene estados en la tabla de estado, todas sus conexiones fluirá fuera de una única puerta de enlace. Esto puede ayudar con

protocolos como HTTPS y FTP, donde el servidor puede ser estrictos con todas las conexiones procedentes de la misma fuente, o cuando una conexión de entrada

adicional debe ser recibido de la misma fuente. La desventaja de este comportamiento es que el equilibrio no es tan e fi ciente, un gran consumidor podría dominar una

sola WAN en lugar de tener sus conexiones hacia fuera.

Para el equilibrio de carga del servidor, se describe adicionalmente en Servidor de equilibrio de carga , Conexiones adhesivas son deseables para aplicaciones que se basan en las mismas

direcciones IP de los servidores que se mantiene a lo largo de un determinado período de sesiones para un usuario. aplicaciones web de los servidores pueden no ser lo suficientemente

inteligente como para permitir una sesión de usuario que exista en varios servidores de back-end, al mismo tiempo, por lo que este permite al usuario alcanzar siempre el mismo servidor, siempre

y cuando se navega por un sitio. Este comportamiento puede no ser necesaria dependiendo del contenido del servidor.

Propina: Para obtener más control sobre cómo las conexiones de usuario están asociados con los servidores en un escenario de equilibrio de carga, considere utilizar el paquete HAProxy
en lugar de la incorporada en el relayd equilibrador de carga. HAProxy admite varios métodos de asegurando que los usuarios se dirigen adecuadamente a un servidor back-end.

los Tiempo de espera de seguimiento Fuente para los controles conexiones adhesivas cuánto tiempo se mantendrá la asociación pegajosa para un anfitrión después de la totalidad de los

estados de acogida que expirará. El valor es especificado en segundos. Por defecto, no se establece este valor, por lo que la asociación se retira tan pronto como los estados expiran. Si las

conexiones adhesivas parecen funcionar inicialmente, pero parecen detenerse por la mitad sesiones, aumentar este valor para mantener una asociación más tiempo. navegadores web a

menudo tienen conexiones abiertas por un tiempo ya que los usuarios están en un sitio, pero si hay una gran cantidad de tiempo de inactividad, las conexiones pueden estar cerrados y los

estados pueden caducar.

7.6. Opciones avanzadas de Con fi guración 89

El libro pfSense, Liberación

Puerta de enlace predeterminada de conmutación

Habilitar puerta de enlace predeterminada de conmutación permite a las puertas de enlace no predeterminadas adicionales para hacerse cargo de si el BE- puerta de enlace predeterminada viene

inalcanzable. Este comportamiento está desactivado por defecto. Con múltiples redes WAN, conmutación de la puerta de enlace predeterminada auto- máticamente se asegurará de que el

cortafuego siempre tiene una puerta de enlace predeterminada para que trá fi co de la ficción en sí cortafuegos puede salir a Internet para DNS, actualizaciones, paquetes y servicios añadidos

como el calamar.

Propina: Cuando se utiliza el Resolver DNS en el modo de no reenvío por defecto, se requiere conmutación de entrada de defecto para Multi-WAN funcione correctamente. Si el cambio de
puerta de enlace predeterminada no se puede utilizar, a continuación, considerar el uso de modo de reenvío en su lugar.

Hay casos donde la desconexión la puerta de enlace por defecto no es deseable, sin embargo, tales como cuando el cortafuego tiene puertas de enlace adicionales que no están

conectadas a Internet. En el futuro esta opción se ampliará para que pueda ser controlado en función de cada puerta de enlace.

Advertencia: Esta opción se sabe que no funcione correctamente con un tipo PPP WAN (PPPoE, L2TP, etc) como una puerta de enlace predeterminada.

Ahorro de energía

Cuando Habilitar PowerD está marcada, el powerd se inicia el demonio. Este demonio monitoriza el sistema y puede disminuir o aumentar la frecuencia de la CPU basado en la
actividad del sistema. Si los procesos necesitan el poder, se aumentará la velocidad de la CPU, según sea necesario. Esta opción reducirá la cantidad de calor de una CPU
genera, y también pueden disminuir el consumo de energía.

Nota: El comportamiento de esta opción depende en gran medida del hardware en uso. En algunos casos, la frecuencia de la CPU puede disminuir pero no tienen ningún efecto mensurable
sobre el consumo de energía y / o calor, mientras que otros se enfriarán y utilizar menos energía considerablemente. Se considera seguro para funcionar, pero se deja desactivada de forma
predeterminada a menos que se detecte el hardware soportado.

El modo de powerd también puede ser seleccionado para tres estados del sistema:

Alimentación de CA El funcionamiento normal conectado a la red.

Energía de la batería Modo de usar cuando el cortafuego está funcionando con batería. Soporte para la detección de energía de la batería

varía según el hardware.

Poder desconocido Modo utilizado cuando powerd no se puede determinar la fuente de alimentación. Existen cuatro modos de

opciones para cada uno de estos estados:

Máximo Mantiene el rendimiento lo más alto posible en todo momento.

Mínimo Mantiene el rendimiento en su nivel más bajo, para reducir el consumo de energía.

Adaptado Trata de equilibrar los ahorros por la disminución de rendimiento cuando el sistema está inactivo y el aumento
cuando hay mucha gente.

Hiadaptive Similar a adaptativos pero afinado para mantener un alto rendimiento a costa de una mayor potencia de con-
el consumo. Eleva la frecuencia de la CPU más rápida y lo deja caer más lento. Este es el modo por defecto.

Nota: Algunos de hardware requiere powerd corriendo a funcionar a su máxima frecuencia de la CPU alcanzable. Si el dispositivo de fi cortafuegos no tiene powerd permitido
pero siempre corre a lo que parece ser una baja frecuencia de la CPU, activar powerd
y ponerlo a Máximo durante al menos el Alimentación de CA estado.

90 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Perro guardián

Fi cierto hardware incluye un cortafuegos Perro guardián característica que puede restablecer el hardware cuando el daemon de vigilancia ya no puede interactuar con el hardware

después de un tiempo de espera de fi cado. Esto puede aumentar la fiabilidad restableciendo una unidad cuando un bloqueo duro se encontró que de otro modo podrían requerir

intervención manual.

La desventaja de cualquier vigilancia de hardware es que cualquier su fi cientemente sistema ocupado puede ser indistinguible de uno que ha sufrido un bloqueo duro.

Enable Watchdog Cuando se selecciona, el watchdogd daemon se ejecuta que intenta trabar sobre una SUP-
dispositivo de vigilancia de hardware portado.

Tiempo de espera de vigilancia El tiempo, en segundos, después de lo cual el dispositivo se restablecerá si no responde a
una solicitud de vigilancia. Si un cortafuego regularmente tiene una carga alta y activa accidentalmente el organismo de control, aumente el tiempo de espera.

Criptográfica y Hardware térmica

hardware criptográfico

Hay algunas opciones disponibles para acelerar las operaciones de cifrado a través de hardware. Algunos están construidos en el núcleo, y otros son
módulos cargables. Un módulo opcional se puede seleccionar aquí: AES-NI ( Advanced Encryption Standard, New Instructions). Si AES-NI aceleración
basada CPU ( aesni) se elige, entonces su módulo del kernel se carga cuando se guarda, y en el arranque. los aesni módulo acelerar las operaciones de
AES-GCM, disponible en IPsec. Soporte para AES-NI está integrada en muchos Intel reciente y algunos CPUs AMD. Consulte con el OEM para CPU fi co
o soporte SoC.

Velocidades con AES-NI variar según el apoyo de software subyacente. Algunos programas de software basados ​en OpenSSL como OpenVPN puede llevar a cabo de

manera diferente con AES-NI descargada desde OpenSSL ha incorporado soporte para AES-NI. apoyo IPsec será mucho mayor con cargado proporcionado AES-NI que

se utiliza AES-GCM y correctamente con fi gurado. Estos controladores gancho en el crypto (9) marco en FreeBSD, por lo que muchos aspectos del sistema utilizará

automáticamente la aceleración para cifrados soportados.

Hay otros dispositivos criptográficos compatibles, como hifn (4) y ubsec (4). En la mayoría de los casos, si se detecta un chip acelerador apoyado, se muestra en el Información
del sistema widget en el tablero de instrumentos.

Los sensores térmicos

pfSense puede leer los datos de temperatura de unas pocas fuentes que se mostrará en el tablero de instrumentos. Si el cortafuego tiene una CPU compatible, la selección de un

sensor térmico se carga el controlador apropiado para leer su temperatura. Los siguientes tipos de sensores son compatibles:

Ninguno / ACPI El cortafuego intentará leer la temperatura de una placa base compatible con ACPI
sensor si uno está presente, de lo contrario no hay lecturas de los sensores están disponibles.

núcleo Intel Carga el coretemp módulo que soporta la lectura de los datos térmicos del núcleo de la serie Intel
CPUs y otras CPU Intel moderna, utilizando sus sensores en el chip, incluyendo procesadores basados ​en Atom.

AMD K8, K10, K11 y Carga el amdtemp módulo que soporta la lectura de los datos térmicos de mo-
CPUs AMD ern utilizando sus sensores en el chip.

Si el cortafuego no tiene un chip sensor térmico soportado, esta opción no tendrá ningún efecto. Para descargar el módulo seleccionado, establezca esta opción Ninguno /
ACPI y luego reiniciar el sistema.

Nota: los coretemp y amdtemp módulos reportan datos térmicos directamente desde el núcleo de la CPU. Esto puede o no puede

7.6. Opciones avanzadas de Con fi guración 91

El libro pfSense, Liberación

ser indicativa de la temperatura en otras partes del sistema. temperaturas de caso pueden variar mucho de las temperaturas en el dado de la CPU.

horarios

los No matar conexiones cuando expira horario opción controla si los Estados se borran cuando una regla ULed sched- transición a un estado que
bloquearía trá fi co. Si no se controla, las conexiones se terminan cuando ha transcurrido el tiempo previsto. Si se selecciona, las conexiones se dejan
solos y no se cerrarán automáticamente por el cortafuego.

Monitoreo de puerta de enlace

Claro Unidos Cuando una puerta de enlace es de Down

Cuando se utiliza multi-WAN, por defecto el proceso de supervisión no Enjuagar los estados fl cuando una puerta de entrada entra en un estado hacia abajo. estados de lavado para cada

evento de puerta de enlace pueden ser perjudiciales en situaciones en las que una puerta de entrada es inestable. los Vaciar todos los estados cuando un gateway falla opción anula el

comportamiento por defecto, la limpieza de los estados de todas conexiones existentes cuando alguna puerta de enlace falla. estados de compensación puede ayudar a redirigir tráfico c

para conexiones de larga vida tales como VoIP registros de teléfono / tronco a otro WAN, pero también pueden interrumpir las conexiones en curso si una puerta de entrada Minoritarias es

fl apping que todavía matar a todos los estados cuando falla. Más información sobre cómo este impactos multi-WAN se puede encontrar en Matar Estado / conmutación forzada .

Nota: Cuando esto se activa, toda la tabla de estado se borra. Esto es necesario porque no es posible matar a todos los estados de la WAN en su defecto y
los estados del lado LAN asociadas con la WAN no. Extracción de los estados en el lado WAN sola no es efectiva, los estados de la LAN debe ser limpiado
también.

Saltar Reglas Cuando Gateway es de Down

De manera predeterminada, cuando una regla tiene una puerta de entrada conjunto específico y esta pasarela se ha reducido, la puerta de entrada se omite de la regla y trá fi co se envía a través

de la puerta de enlace predeterminada. los No crear reglas cuando la puerta de enlace se ha reducido opción anula ese comportamiento y toda la regla se omite en el conjunto de reglas cuando la

pasarela está abajo. En lugar de fl debido a través de la puerta de enlace predeterminada, el trá fi co coincidirá con una regla diferente en su lugar. Esto es útil si trá fi co sólo se debe utilizar

siempre una especificidad c WAN y nunca flujo por encima de cualquier otra WAN.

Propina: Cuando se utiliza esta opción, cree una regla de rechazo o bloque debajo de la regla de política de enrutamiento con los mismos coinciden con los criterios. Esto evitará que el
tráfico c desde potencialmente búsqueda de otras reglas por debajo de ella en el conjunto de reglas, y teniendo un camino no intencionado.

Configuración del Disco RAM

Los / tmp y / var directorios se utilizan para la escritura de los archivos y el almacenamiento de datos que es temporal y / o volátil. El uso de un disco RAM puede reducir la cantidad de escritura

que ocurre en los discos del cortafuego. Los SSD modernos no tienen preocupaciones de escritura en disco como unidades antiguas hicieron una vez, pero todavía pueden ser una preocupación

cuando se ejecuta desde el almacenamiento de cenizas fl calidad inferior, tal como las memorias USB.

Este comportamiento tiene el beneficio de mantener la mayor parte de las escrituras fuera del disco en el sistema base, pero los paquetes todavía puede escribir con frecuencia en el

disco duro. También requiere manipulación adicional para asegurar que los datos como gráficos RRD y concesiones DHCP se retienen en los reinicios. Los datos para los dos se

guarda durante un apagado o reinicio adecuado, y también periódicamente si con fi gurado.

92 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Utilice discos RAM Cuando se activa, un disco de memoria se crea en el momento del arranque de / tmp y / var / y el
estructura asociada se inicializa. Cuando se activa esta opción, se requiere un reinicio y obligó al guardar.

/ Tmp Tamaño Disco RAM El tamaño de la / tmp disco RAM, en MiB. El valor por defecto es 40, pero debe ser
fija más alto si hay RAM disponible.

/ Var Tamaño Disco RAM El tamaño de la / var disco RAM, en MiB. El valor por defecto es 60, pero debe ser
fijan mucho mayor, especialmente si se utilizan paquetes. 512-1024 es un mejor punto de partida, dependiendo de la RAM fi cortafuegos
disponibles.

Periódica de copia de seguridad RRD El tiempo, en horas, entre copias de seguridad periódicas de los archivos RRD. Si el cortafuego es

reiniciado inesperadamente, la última copia de seguridad se restaura cuando se inicia el fi cortafuego copia de seguridad. Cuanto menor sea el valor, menos los

datos que se perderán en ese caso, pero las copias de seguridad más frecuentes escribir más en el disco.

DHCP periódica Arrendamientos de copia de seguridad El tiempo, en horas, entre copias de seguridad periódicas de la concesión DHCP

bases de datos. Si el cortafuego se reinicia inesperadamente, la última copia de seguridad se restaura cuando se inicia el fi cortafuego copia de seguridad. Cuanto

menor sea el valor, menos los datos que se perderán en ese caso, pero las copias de seguridad más frecuentes escribir más en el disco.

Advertencia: Aparte de los puntos mencionados anteriormente, hay varios elementos que tener cuidado con la hora de elegir si desea o no utilizar la opción de disco
RAM. Se usa incorrectamente, esta opción puede conducir a la pérdida de datos o de otros fallos inesperados.

Los registros del sistema se llevan a cabo en / var pero no están respaldados como las bases de datos RRD y DHCP. Los registros se restablezca fresco en cada
reinicio. Para los registros persistentes, utilizar syslog remoto para enviar los registros a otro dispositivo en la red.

Los paquetes no pueden explicar correctamente el uso de discos RAM, y pueden no funcionar adecuadamente en el arranque o en otras formas. Pruebe cada
paquete, incluyendo si o no funciona inmediatamente después de un reinicio. Estos son los discos RAM, por lo que la cantidad de RAM disponible para otros
programas serán reducidos por la cantidad de espacio utilizado por los discos RAM. Por ejemplo si el cortafuego tiene 2 GB de RAM, y tiene 512 MB para / var y
512 MB de
/ Tmp, entonces sólo 1 GB de RAM estará disponible para el sistema operativo para uso general.

Especial cuidado debe ser tomado al elegir un tamaño de disco, que se discute en la siguiente sección.

RAM tamaños de disco

Configuración de un tamaño demasiado pequeño para / tmp y / var puede realizar copias de fuego, especialmente cuando se trata de paquetes. Los tamaños
sugeridos en la página son una mínimo absoluto y con frecuencia se requieren tamaños mucho más grandes. El fallo más común es que cuando se instala un
paquete, y partes de los lugares paquete táctiles en tanto / tmp y / var y en última instancia, puede llenar el disco RAM y causar otros datos que se perdieron. Otro
fallo común es la creación / var como un disco RAM y luego olvidarse de mover una caché de calamar a un lugar fuera de / var - si no se controla, será llenar el
disco RAM. Por / tmp, un mínimo de 40 Se requiere MiB. Por / var un mínimo de 60 Se requiere MiB. Para determinar el tamaño adecuado, comprobar el uso
actual de la / tmp y / var directorios antes de hacer un cambio. Comprobar el uso de varias veces en el transcurso de unos pocos días, así que no se detecta en un
punto bajo. Viendo el uso durante una instalación del paquete añade otro punto de datos útiles.

Tab optimizables del sistema

los sistema optimizables lengüeta debajo Sistema> Avanzado proporciona un medio para establecer en tiempo de ejecución tunables sistema FreeBSD, también conocido como sysctl

OID. En casi todos los casos, se recomienda dejar estos sintonizables en sus valores por defecto. los administradores de cortafuegos familiarizadas con FreeBSD, o los usuarios Si lo

hace, bajo la dirección de un representante desarrollador o de apoyo, pueden querer ajustar o agregar valores en esta página para que se establecerán como se inicia el sistema.

7.6. Opciones avanzadas de Con fi guración 93

El libro pfSense, Liberación

Nota: Los sintonizables en esta página son diferentes de Cargador de optimizables. cargador de optimizables son de sólo lectura valora una vez que el sistema ha
arrancado, y esos valores se debe establecer en / boot / loader.conf.local.

Creación y edición de optimizables

Para editar una sintonizable existente, haga clic .

Para crear un nuevo sintonizable, haga clic Nuevo Al inicio de la lista.

Al editar o crear un sintonizable, los siguientes campos están disponibles:

sintonizable los sysctl OID para establecer

Valor El valor al que el sintonizable se establecerá.

Nota: Algunos valores tienen requisitos de formato. Debido a la gran cantidad de OID sysctl, la interfaz gráfica de usuario no valida que el
dado Valor trabajará para el elegido Sintonizable.

Descripción Una descripción opcional para la referencia. Hacer clic Salvar cuando

el formulario se ha completado.

OID sintonizables y Valores

Hay muchas posibles OID de sysctl, algunos de ellos pueden cambiarse, algunos son de sólo lectura salidas, y otros deben establecer antes de que arranque el sistema
como cargador optimizables. La lista completa de los OID y sus posibles valores está fuera del alcance de este libro, pero para aquellos interesados ​en cavar un poco
más profundo, el sysctl página del manual de FreeBSD contiene instrucciones detalladas e información.

noti fi caciones

pfSense notifica al administrador de eventos y errores importantes al mostrar una alerta en la barra de menús, indicado por

el icono. pfSense también puede enviar estas noti fi caciones de forma remota a través de correos electrónicos utilizando SMTP o vía Growl.

El correo electrónico SMTP

E-mail noti fi caciones son entregados por una conexión SMTP directa a un servidor de correo. El servidor debe ser con fi gurada para permitir la retransmisión desde el
cortafuego o aceptar conexiones SMTP autenticadas.

Desactivar SMTP Cuando se activa, no se enviarán SMTP noti fi caciones. Esto es útil a los cationes fi silencio NotI
mientras se mantiene la configuración de SMTP en su lugar para su uso por otros fines, tales como paquetes que utilizan el correo electrónico.

servidor de correo electrónico El nombre de host o IP del servidor de correo electrónico a través del cual las noti fi caciones será

expedido.

Puerto SMTP del servidor de correo electrónico El puerto para la comunicación con el servidor SMTP. la mayor parte
puertos comunes son 25 y 587. En muchos casos, 25 no funcionará a menos que sea a un servidor de correo local o interna. Proveedores de

frecuencia bloquean las conexiones de salida en el puerto 25, a fin de utilizar 587 (el puerto de Envío) cuando sea posible.

Tiempo de espera de conexión al servidor de correo electrónico La cantidad de tiempo, en segundos, que el cortafuego esperará para una

conexión SMTP para completar.

94 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Conexión segura SMTP Cuando se establece, el cortafuego intentará una conexión SSL / TLS para enviar
correo electrónico. El servidor debe tener un certificado SSL válido fi cado y aceptar conexiones SSL / TLS.

De la dirección de correo electrónico La dirección de correo electrónico que se utilizará en el De: cabecera, que especi fi ca la

fuente del mensaje. Algunos servidores SMTP intento de validar esta dirección por lo que la mejor práctica es utilizar una dirección real en
este campo. Esto se establece habitualmente a la misma dirección que Notificación de E-mail.

Notificación E-mail La dirección de correo electrónico para el A: encabezado del mensaje, que es el DES-
nación en la que los correos electrónicos de noti fi cación serán entregados por el cortafuego.

Notificación por correo electrónico de autenticación Nombre de usuario Opcional. Si el servidor de correo requiere un nombre de usuario y la contraseña para

autenticación, introduzca el nombre de usuario aquí.

Notificación por correo electrónico de autenticación de contraseña Opcional. Si el servidor de correo requiere un nombre de usuario y la contraseña para

autenticación, introduzca la contraseña aquí y en la confirmación de campo.

Notificación de correo electrónico Mecanismo de autenticación Este campo específico es el mecanismo de autenticación requerido por el

servidor de correo. La mayoría de los servidores de correo electrónico trabajan con LLANURA autentificación, otros, como Microsoft Exchange pueden requerir INICIAR

SESIÓN autentificación estilo.

Hacer clic Salvar para almacenar la configuración antes de proceder.

Hacer clic Configuración SMTP prueba para generar una fi cación NotI prueba y enviarlo a través de SMTP utilizando la previamente almacenada

ajustes. Guardar las opciones antes de hacer clic en este botón.

Puesta en marcha / sonido Shutdown

Si el hardware fi cortafuegos tiene un altavoz de PC pfSense se reproduzca un sonido cuando se inicie acabados y otra vez cuando se inicia una parada. Comprobar Deshabilitar

el inicio / parada pitido para evitar que el cortafuego de jugar estos sonidos.

Gruñido

Growl proporciona un método discreto de la entrega de cationes fi caciones escritorio. Estas noti fi caciones pop-up en un escritorio y luego ocultar o desaparecer.
Growl está disponible en la tienda de aplicaciones para Mac OS X , Y está disponible en ventanas y
FreeBSD / Linux así como.

Desactivar fi caciones Growl Noti Cuando se selecciona, el cortafuego no enviará Growl noti fi caciones.

Nombre de registro El nombre del servicio del cortafuego utilizará para registrarse en el servidor de Growl. Por defecto
esto es pfSense-Growl. Considere esto como el tipo de NotI fi cación como se ve por el servidor Growl.

Notificación Nombre El nombre del sistema que produce cationes fi caciones. El valor por defecto de pfSense
rugido de alerta puede ser su fi ciente, o personalizarlo con el nombre de host fi cortafuegos o cualquier otro valor para que sea distinta.

Dirección IP La dirección IP a la que el cortafuego enviará Growl Noti fi caciones.

Contraseña La contraseña requerida por el servidor de Growl.

Hacer clic Salvar para almacenar la configuración antes de proceder.

Hacer clic Ajustes de prueba Growl enviar una noti fi cación de prueba a través de Growl utilizando la configuración guardada anteriormente. Guardar antes de intentar una prueba.

7.6. Opciones avanzadas de Con fi guración 95

El libro pfSense, Liberación

Información básica del menú de la consola

tareas básicas con fi guración y mantenimiento se pueden realizar desde la consola del sistema. La consola está disponible utilizando un teclado y un monitor, consola serie, o

mediante el uso de SSH. Los métodos de acceso varían dependiendo del hardware. A continuación se muestra un ejemplo de lo que el menú de la consola se verá así, pero

puede variar ligeramente dependiendo de la versión y de la plataforma:

* * * Bienvenido a pfSense 2.4.0-RELEASE (amd64) en pfSense ***

WAN (wan) - > vmx0 - > v4 / DHCP4: 198.51.100.6/24 v6 / DHCP6: 2001: db8 :: 20c: 29ff: fe78: 6e4e /
64
LAN (LAN) - > vmx1 - > v4: 10.6.0.1/24
v6 / t6: 2001: db8: 1: eea0: 20c: 29ff: fe78: 6e58 / 64

0) Salir (sólo SSH) 9) pfTop

1) Interfaces Asignar 10) Los registros de filtro
2) la interfaz conjunto (s) dirección IP 11) de reinicio webConfigurator
3) Cambiar contraseña webConfigurator 12) herramientas de shell PHP + pfSense
4) Restablecer los valores predeterminados de fábrica 13) Actualización de la consola
5) Sistema de reinicio 14) Disable Secure Shell (sshd)
6) Sistema de Halt 15) Restaurar configuración reciente
7) anfitrión Ping 16) de reinicio PHP-FPM
8) Shell

asignar Interfaces

Esta opción reinicia el Asignación de interfaz tarea, que se cubre en detalle en asignar Interfaces y La asignación manual de Interfaces . Esta opción de
menú puede crear interfaces VLAN, reasignar las interfaces existentes, o asignar nuevos.

la interfaz conjunto (s) dirección IP

La secuencia de comandos para configurar una dirección IP de la interfaz puede establecer WAN, LAN, o direcciones IP de interfaz OPT, pero también hay otras características útiles de este

script:

• El cortafuego le pide para activar o desactivar el servicio DHCP para una interfaz, y para establecer el rango de direcciones IP de DHCP si está activado.

• Si la interfaz gráfica de usuario fi cortafuegos es con fi gurado para HTTPS, las indicaciones del menú para cambiar a HTTP. Esto ayuda en casos en que la con fi guración SSL no está

funcionando correctamente.

• Si la regla anti-bloqueo de LAN ha sido desactivado, la secuencia de comandos permite a la regla anti-bloqueo en caso de que el usuario ha sido bloqueada de la interfaz gráfica de

usuario.

Restablecer la contraseña WebCon fi gurator

Esta opción de menú activa una secuencia de comandos para restablecer el administración contraseña de la cuenta y el estado. La contraseña se restablece en el valor predeterminado de pfSense.

El guión también tiene algunas otras acciones para ayudar a recuperar la entrada en el cortafuego:

• Si la fuente de autenticación interfaz gráfica de usuario se establece en un servidor remoto como RADIUS o LDAP, se le solicita a devolver la fuente de autenticación a la
base de datos local.

• Si el administración la cuenta se ha eliminado, el guión vuelve a crear la cuenta.

• Si el administración cuenta está deshabilitada, el guión vuelve a activar la cuenta.

96 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Restablecer los valores predeterminados de fábrica

Esta opción del menú restaura la con fi guración del sistema a los valores predeterminados de fábrica. También intentará eliminarán los paquetes instalados.

Nota: Esta acción no se hará ningún otro cambio en el sistema de ficheros fi. Si el sistema de archivos se han dañado o alterado de una manera no deseada, lo mejor es
hacer una copia de seguridad, y volver a instalar desde medios de instalación.

Esta acción también está disponible en WebGUI en Diagnóstico> valores predeterminados de fábrica

Reiniciar el sistema

Esta opción del menú se limpia apagar el cortafuegos fi pfSense y reiniciar el sistema operativo. Unas pocas opciones avanzadas

también pueden aparecer en esta página, dependiendo de soporte de hardware:

reinicie normalmente Realiza un reinicio normal en el modo tradicional.

Reroot Esta opción no realiza un reinicio completo, pero una bota estilo “reroot”. Todos los procesos que se están ejecutando

matado, todos los sistemas de ficheros fi se vuelven a montar, y luego la secuencia de inicio del sistema se ejecuta de nuevo. Este tipo de reinicio es mucho más

rápido, ya que no se reinicia el hardware, vuelva a cargar el kernel, o la necesidad de pasar por el proceso de detección de hardware.

Reiniciar en modo de usuario único Esto reiniciará el cortafuego en modo de usuario único para PUR de diagnóstico
plantea. El cortafuego no puede recuperarse automáticamente de este estado, se requiere acceso a la consola para utilizar el modo de usuario único y

reinicie el cortafuego. Esta opción de menú no está disponible en SG-1000.

Advertencia: En el modo de usuario único, y otros sistemas de ficheros fi no están montados los valores por defecto de raíz fi sistema de ficheros

de sólo lectura. El cortafuego también no tiene una conexión de red activa. Esta opción sólo debe utilizarse bajo la supervisión de un

representante de soporte o un usuario con conocimientos avanzados de FreeBSD.

Reiniciar el sistema y realizar una verificación de fi sistema de ficheros Esto reinicia el cortafuego y obliga a un control de sistema de archivos utilizando fi fsck,

corren cinco veces. Esta operación se suele cuestiones correctas con el sistema de ficheros fi en el cortafuego. Esta opción de menú no está
disponible en SG-1000.

Nota: Las opciones de comprobación de modo de usuario único y sistema de ficheros fi requieren una letra mayúscula para ser introducida para confirmar la acción. Esto es necesario
para evitar activar las opciones de forma accidental. Las opciones de reinicio y reroot pueden introducirse en mayúsculas o minúsculas.

Esta acción también está disponible en WebGUI en Diagnóstico> Reiniciar

sistema de interrupción

Esta opción del menú se cierra limpiamente el cortafuego y, o bien se detiene o se apaga, en función del soporte de hardware.

Advertencia: Desaconsejamos totalmente el corte de alimentación de un sistema en funcionamiento. Detener antes de quitar el poder es siempre la opción más segura.

Esta acción también está disponible en WebGUI en Diagnóstico> Sistema Halt

7.7. Información básica del menú de la consola 97

El libro pfSense, Liberación

anfitrión Ping

Esta opción de menú se ejecuta un guión que intenta ponerse en contacto con un anfitrión para confirmar si es accesible a través de una red conectada. La secuencia de comandos

solicita al usuario una dirección IP, y luego envía el host de destino que tres peticiones de eco ICMP. La secuencia de comandos muestra la salida de la prueba, incluyendo el

número de paquetes recibidos, números de secuencia, tiempos de respuesta, y el porcentaje de pérdida de paquetes. El script usa silbido cuando se le da una dirección IPv4 o un

nombre de host, y ping6 cuando se le da una dirección IPv6.

Cáscara

Esta opción del menú se inicia un shell de línea de comandos. Una cáscara es muy útil y muy potente, pero también tiene el potencial de ser muy peligroso.

Nota: La mayoría de los usuarios pfSense no necesita tocar la concha, o siquiera sabe que existe.

tareas con fi guración complejos pueden requerir trabajar en la cáscara, y algunas tareas de resolución de problemas son más fáciles de lograr a partir de la cáscara, pero
siempre hay una posibilidad de causar un daño irreparable al sistema.

usuarios de FreeBSD veteranos pueden sentir un poco como en casa, pero hay muchos comandos que no están presentes en un sistema pfSense ya que las partes

innecesarias del sistema operativo se eliminarán de las restricciones de seguridad y tamaño. Una concha de iniciarse en este usos Manner tcsh, y la única otra shell

disponible es sh. Si bien es posible instalar otros proyectiles para la comodidad de los usuarios, no recomendamos ni apoyamos el uso de otras conchas.

pfTop

Esta opción de menú activa pftop que muestra una vista en tiempo real de los estados fi cortafuego, y la cantidad de datos que se han enviado y recibido. Puede ayudar a las sesiones

en forma de puntos que actualmente utilizan grandes cantidades de ancho de banda, y también puede ayudar a diagnosticar otros problemas de conexión a la red.

Ver también:

Ver Estados visualización con pfTop para más información sobre cómo utilizar pfTop.

Registros de filtro

los Registros de filtro opción de menú muestra las entradas del registro fi cortafuego, en tiempo real, en su forma cruda. Los registros primas contienen mucha más información por

línea de la vista del registro en el WebGUI ( Estado> Registros del sistema, pestaña Firewall), pero no toda esta información es fácil de leer.

Propina: Para una fi ed vista de la consola simplificada de los registros en tiempo real con bajo detalle, utilizar este comando shell:

obstruir - F / var / Iniciar sesión / filtrar . Iniciar sesión | filterparser . php

Reinicio WebCon fi gurator

Al reiniciar el gurator WebCon fi reiniciará el proceso del sistema que ejecuta el WebGUI ( nginx). En casos extremadamente raros, el proceso puede haber detenido, y al

reiniciarse se restaurar el acceso a la interfaz gráfica de usuario. Si la interfaz gráfica de usuario no responde y esta opción no restaura el acceso, opción de menú 16

para invocar Reinicio PHP-FPM

después de usar esta opción de menú.

98 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

herramientas PHP shell + pfSense

La cáscara PHP es una utilidad de gran alcance que ejecuta código PHP en el contexto del sistema en ejecución. Al igual que con la cáscara normal, también es potencialmente
peligroso de usar. Esto se utiliza principalmente por los desarrolladores y los usuarios experimentados que están íntimamente familiarizado con PHP y la base de código
pfSense.

Secuencias de comandos de reproducción

Hay varios guiones de reproducción para el Shell PHP que automatizan tareas simples o permiten el acceso a la interfaz gráfica de usuario. Estas secuencias de comandos se

ejecutan desde dentro de la cáscara de PHP, así:

pfSense shell: scriptname reproducción

También se pueden ejecutar desde la línea de comandos:

# pfSsh.php reproducción scriptname

Cambia la contraseña

Este script cambia la contraseña de un usuario, y también solicita para restablecer las propiedades de la cuenta si está deshabilitado o caducado.

disablecarp / enablecarp

Estos scripts desactivar y activar las funciones de alta disponibilidad carpa, y se desactivarán las direcciones IP virtuales de tipo CARP. Esta acción no persiste
en los reinicios.

disablecarpmaint / enablecarpmaint

Estos scripts desactivar y activar el modo de mantenimiento CARP, lo que deja CARP activo, pero degrada esta unidad para que el otro nodo puede asumir el
control. Este modo de mantenimiento persistirá en los reinicios.

disabledhcpd

Esta secuencia de comandos elimina todo con DHCP fi guración del cortafuego, desactivando efectivamente el servicio DHCP y eliminar por completo todos sus ajustes.

disablereferercheck

Este script deshabilita el HTTP_REFERER cheque mencionado en HTTP_REFERER aplicación de navegador . Esto puede ayudar a obtener acceso a la interfaz gráfica de usuario si una

sesión del navegador está provocando esta protección.

enableallowallwan

Este script agrega una regla de permitir que todos para IPv4 e IPv6 a la interfaz WAN.

Advertencia: Tenga mucho cuidado con esta opción, que está destinado a ser una temporal medir para obtener acceso a los servicios en la interfaz WAN del cortafuego en
situaciones en las que la LAN no es utilizable. Una vez que las reglas de acceso adecuadas se ponen en marcha, retire las reglas añadidas por este script.

7.7. Información básica del menú de la consola 99

El libro pfSense, Liberación

enablesshd

Este script permite que el daemon SSH, lo mismo que la opción de menú de la consola o la opción de interfaz gráfica de usuario.

externalcon fi glocator

Este script buscará una config.xml fi l en un dispositivo externo, como una unidad flash USB, y se moverá en su lugar para su uso por el cortafuego.

gatewaystatus

Este script muestra el estado de la pasarela actual y estadísticas. También acepta un parámetro opcional breve que se imprime sólo el nombre de la pasarela y el
estado, omitiendo las direcciones y datos estadísticos.

generateguicert

Este script crea un nuevo certi fi cado autofirmado para el cortafuego y lo activa para su uso en la interfaz gráfica de usuario. Esto es útil en los casos en que el anterior certi fi

cado es válido o de otro modo no utilizable. También fi LLS en los detalles de certi fi cado utilizando el nombre de host fi cortafuegos y otra información personalizada, para

identificar mejor el anfitrión.

gitsync

Esta escritura compleja sincroniza el PHP y otras fuentes de secuencias de comandos con los archivos del repositorio GitHub pfSense. Es más útil en las instantáneas
de desarrollo para recoger los cambios de cambios más recientes.

Advertencia: Este script puede ser peligroso para su uso en otras circunstancias. Sólo utilice esta bajo la dirección de un desarrollador o soporte
representante bien informado.

Si el script se ejecuta sin ningún parámetro se imprimirá un mensaje de ayuda delineando su uso. Más información se puede encontrar en la pfSense Doc Wiki .

installpkg / listpkg / uninstallpkg

Estos scripts interfaz con el sistema de paquetes pfSense de una manera similar a la interfaz gráfica de usuario. Estos se utilizan principalmente para los problemas del paquete de depuración,

la comparación de la información en config.xml en comparación con la base de datos de paquetes.

pfanchordrill

Este script busca de forma recursiva a través PF anclajes e imprime cualquier regla de cortafuego NAT o fi que fi NDS. Esto puede ayudar a localizar a un comportamiento inesperado en

áreas tales como la relayd equilibrador de carga que se basan en normas de anclas que no son otra cosa visible en la interfaz gráfica de usuario.

pftabledrill

Este script muestra el contenido de todos PF tablas, que contienen direcciones utilizadas en los alias fi cortafuego, así como las tablas del sistema incorporadas para funciones como

el bloqueo de red Bogon, resoplido, y la interfaz gráfica de usuario / bloqueo SSH. Este script es útil para comprobar si un especí fi co dirección IP se encuentra en cualquier mesa, en

lugar de buscar de forma individual.

100 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

removepkgcon fi g

Esta secuencia de comandos elimina todo rastro de datos de paquete con fi guración de la ejecución config.xml. Esto puede ser útil si un paquete ha corrompido la
configuración o ha dejado de otro modo los paquetes en un estado incoherente.

removeshaper

Este script elimina altq tráfico c talladora configuración, que puede ser útil si el conformador con fi guración es la prevención de las reglas de carga o es de otra manera
incorrecta y evitando el funcionamiento adecuado del cortafuego.

resetwebgui

Este script se restablece la configuración de la GUI para los widgets, columnas del tablero de instrumentos, el tema y otros ajustes relacionados con la GUI. Se puede devolver la interfaz gráfica

de usuario, especialmente el tablero de instrumentos, a un estado estable si no está funcionando correctamente.

restartdhcpd

Este script se detiene y reinicia el proceso de DHCP.

restartipsec

Este script vuelve a escribir y recarga la IPsec con fi guración de strongSwan.

SVC

Este script le da control sobre los servicios que se ejecutan en el cortafuego, similar a la interacción con los servicios en Estado> Servicios.

La forma general del comando es:

la reproducción SVC <acción> <nombre del servicio> [opciones específicas del servicio]

los acción puede ser detener, iniciar, o reiniciar.

los Nombre del Servicio es el nombre de los servicios que se encuentran bajo Estado> Servicios. Si el nombre incluye un espacio, escriba el nombre entre comillas. los opciones

de servicio especí fi cos varían en función del servicio, que se utilizan para identificar de forma única servicios con varias instancias, como entradas OpenVPN o portal

cautivo. Ejemplos:

• Deja de miniupnpd:

pfSsh.php detener la reproducción SVC miniupnpd

• Reiniciar cliente OpenVPN con ID 2:

pfSsh.php reproducción SVC cliente openvpn reinicio 2

• Iniciar el proceso de Poral cautivo para la zona “Mi Zona”:

7.7. Información básica del menú de la consola 101

El libro pfSense, Liberación

la reproducción se inicia pfSsh.php svc Mi Zona portal cautivo

Actualización de la consola

Esta opción de menú se ejecuta el pfSense-actualización script para actualizar el cortafuego a la última versión disponible. Esta es operativamente idéntica a la ejecución de una

actualización de la interfaz gráfica de usuario y requiere una conexión de red de trabajo para alcanzar el servidor de actualizaciones.

Este método de actualización se cubre con más detalle en La actualización mediante la consola .

Activar / Desactivar el Secure Shell (sshd)

Esta opción cambia el estado del daemon de shell seguro, sshd. Esta opción funciona igual que la opción de la WebGUI para activar o desactivar SSH,
pero se puede acceder desde la consola.

Restaurar reciente con fi guración

Esta opción de menú se inicia una secuencia de comandos que enumera y restaura copias de seguridad desde la historia con fi guración. Esto es similar al acceso a la historia con fi

guración de la interfaz gráfica de usuario en Diagnóstico> Backup / Restore sobre el Con fi g Historia lengüeta. Este script puede mostrar los últimos pocos con fi guración fi les, junto

con una marca de tiempo y la descripción del cambio realizado en la con fi guración, el usuario y la dirección IP que ha realizado el cambio, y la con fi g revisión. Esto es

especialmente útil si un error reciente con fi guración accidentalmente eliminado el acceso a la interfaz gráfica de usuario.

Reinicio PHP-FPM

Esta opción de menú se detiene y reinicia el proceso que se ocupa de los procesos PHP para nginx. Si el proceso del servidor web interfaz gráfica de usuario está
funcionando pero no puede ejecutar scripts PHP, invocar esta opción. Ejecutar esta opción junto con Reinicio WebCon fi gurator para el mejor resultado.

tiempo de sincronización

problemas de tiempo y el reloj son relativamente comunes en el hardware, sino en fi rewalls son críticos, especialmente si el cortafuego está llevando a cabo las tareas que implican la

validación de los certi fi cados como parte de una infraestructura de PKI.

Correcta sincronización de tiempo es una necesidad absoluta en sistemas embebidos, algunos de los cuales no tienen una batería a bordo para conservar su configuración de
fecha y hora cuando se desconecta la alimentación.

No sólo va a conseguir todo esto en la línea de ayuda con las tareas críticas del sistema, sino que también asegura que el registro de archivos en el cortafuego son adecuadamente sellos de

tiempo, que ayuda con la solución de problemas, mantenimiento de registros, y la dirección general del sistema.

Tiempo de mantenimiento Problemas

El hardware puede tener signi fi cativos problemas de tiempo de mantenimiento, aunque este tipo de problemas se aíslan generalmente para el hardware más antiguo, de baja calidad.

Todos los relojes de PC a la deriva en cierta medida, pero un poco de hardware pueden desplazarse tanto como un minuto por cada par de minutos que pasan rápidamente y perder la

sincronización. NTP está diseñado para actualizar periódicamente la hora del sistema para dar cuenta de la deriva de lo normal. No puede relojes razonablemente correctas que se

desplazan de forma significativa. Esto es muy raro, pero hay algunos métodos que potencialmente pueden evitar estos problemas.

102 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

La mejor manera de evitar problemas de tiempo de mantenimiento es el uso de hardware de calidad que ha sido probado y no experimenta estos problemas, tales como el hardware que

se encuentran en el pfSense tienda .

Hay cuatro elementos para comprobar si el hardware tiene fi cativos problemas de mantenimiento de tiempo significantes.

Network Time Protocol

Por defecto, pfSense intenta sincronizar su tiempo utilizando el conjunto de servidores ntp.org Network Time Protocol (NTP). Esto asegura una fecha y la hora exacta
en el cortafuego, y se adaptará a la deriva del reloj normal. Si la fecha y la hora cortafuego son incorrectos, garantizar la sincronización NTP está funcionando. El
problema más común la prevención de la sincronización es la falta de adecuada con fi guración de DNS en el cortafuego. Si el cortafuego no puede resolver nombres
de host, la sincronización NTP fallará. Los resultados de la sincronización se muestran en el arranque en el registro del sistema, y ​el estado de la sincronización del
reloj NTP se pueden consultar en Estado> NTP. los NTP Estado Reproductor para el salpicadero también ofrece información básica sobre el servidor NTP
seleccionado para su uso por el cortafuego.

Las actualizaciones de BIOS

Hemos visto hardware antiguo que corría definir por años en Windows encontrará con grandes problemas de cronometraje vez redefinir pleados en FreeBSD (y por
consecuencia, pfSense). Los sistemas se ejecuta una versión del BIOS varias revisiones fuera de fecha. Una de las revisiones refiere a una cuestión de cronometraje que
aparentemente nunca se ve afectada de Windows. La aplicación de la actualización del BIOS fi ja el problema. El primero que fi para comprobar es asegurarse de que el
hardware en cuestión tiene el BIOS más reciente disponible.

configuración PNP OS en la BIOS

Otro hardware podría tener tiempo de mantenimiento de di fi cultades en FreeBSD y pfSense menos PNP OS en el BIOS se fijó a
No. Si el BIOS no tiene una PNP OS opción de configuración fi Con, buscar una OS Ajuste y ajuste a Otro.

Desactivar ACPI

Unos pocos proveedores de BIOS han producido ACPI (Advanced con guración fi e interfaz de energía) implementaciones que son, en el mejor cochecito y peligroso en el
peor. En más de una ocasión nos hemos encontrado con el hardware que no arranca o no funciona correctamente, mientras que el soporte ACPI está activo.

Mientras que el soporte ACPI se puede desactivar en el BIOS, y en el sistema operativo, no se recomienda el uso de hardware que requiere este tipo de cambios.

Ajuste TimeCounter Hardware Configuración

En los sistemas raros, la kern.timecounter.hardware puede ser necesario cambiar el valor sysctl para corregir un reloj inexacta. Esto es conocido por ser un
problema con las versiones anteriores de VMware ESX tales como 5,0 en combinación con una imagen FreeBSD pfSense basado amd64- o. Ese caso
especial fue un error en el hipervisor que es fijo en ESX 5.1 y posteriores. En estos sistemas, el timeCounter por defecto con el tiempo se detendrá el reloj
de relojería, causando problemas con Cryption es-, VPNs, y servicios en general. En otros sistemas, el reloj puede sesgar por grandes cantidades con el
timeCounter mal.

Para cambiar el timeCounter, vaya a Sistema> Opciones avanzadas, sobre el sistema optimizables pestaña y añadir una entrada para definir

kern.timecounter.hardware a i8254

Esto hará que el sistema utilice el chip timeCounter i8254, que normalmente mantiene buen tiempo, pero no puede ser tan rápido como otros métodos. Las otras
opciones TimeCounter se explicarán más adelante en esta sección.

7.8. tiempo de sincronización 103

El libro pfSense, Liberación

Si el sistema mantiene la hora después de hacer este cambio, deje la entrada sintonizable en su lugar para hacer este cambio permanente. Si el cambio
no ayudó, retire la sintonizable o tratar de otro valor.

Dependiendo de la plataforma y el hardware, también puede haber otras timecounters apetitosas. Para una lista de tros timecoun- disponibles se encuentran en un
cortafuego, ejecute el siguiente comando:

# sysctl kern.timecounter.choice

El cortafuego se imprimirá una lista de timecounters disponibles y su “calidad” según lo informado por FreeBSD:

kern.timecounter.choice: TSC-bajo (1000) ACPI-safe (850) i8254 (0) ficticia (-1.000.000)

Pruebe cualquiera de esos cuatro valores para la sysctl kern.timecounter.hardware ajuste. En términos de “calidad” en este listado, cuanto mayor sea el
número, mejor, pero la facilidad de uso real varía de un sistema a otro.

TSC Un contador en la CPU, pero está ligada a la velocidad de reloj y no puede ser leído por otras CPU. Puede ser usado
en sistemas SMP metal desnudo pero requiere que TSCs en todas las CPU estar sincronizados. No se puede utilizar de forma fiable en sistemas
con una CPU de velocidad variable o un sistema virtualizado con varias CPU.

i8254 Un chip de reloj encontrado en la mayoría del hardware, que tiende a ser seguro, pero puede tener inconvenientes de rendimiento.

ACPI-safe Si está bien soportado por el hardware, esto es una buena elección, ya que no sufre de
las limitaciones de rendimiento de i8254, pero en la práctica su precisión y velocidad varían ampliamente dependiendo de la aplicación.

ACPI-rápido Una ejecución más rápida de la timeCounter ACPI disponibles en el hardware que no sufre
de problemas de ACPI conocidos.

HPET Alta precisión evento de temporizador disponible en algún hardware. Cuando esté disponible, generalmente es consi-
Ered una buena fuente de conteo de tiempo exacto.

Esto y más información sobre FreeBSD Timecounters se puede encontrar en el documento Timecounters: Ef fi ciente y cronometraje preciso en núcleos
SMP por Poul-Henning Kamp del Proyecto FreeBSD, y en el código fuente de FreeBSD.

Ajustar la frecuencia del núcleo del temporizador

En casos raros ajuste de la frecuencia del núcleo, o temporizador kern.hz sintonizable núcleo, puede mejorar el rendimiento o la estabilidad. Esto es especialmente cierto

en entornos virtualizados. El valor por defecto es 1000, pero en algunos casos 100, 50, o incluso 10 será un mejor valor en función del sistema. Cuando se instala en

pfSense VMware, lo detecta y configura automáticamente este sintonizable a 100, los cuales deben trabajar definen en casi todos los casos con los productos de VMware.

Para ajustar esta configuración, añadir una línea a / boot / loader.conf.local con el nuevo valor:

Kern . hz = 100

Sincronización de tiempo GPS

Para ayudar en el mantenimiento de un reloj de precisión, sincronización de tiempo de GPS también es proporcionada por pfSense en el hardware compatible. Ciertos dispositivos GPS

serie o USB son compatibles, y en combinación con los servidores de tiempo externos, que pueden ayudar a mantener el reloj de precisión. Para más detalles, véase NTPD .

Solución de problemas

los Asistente de configuración y tareas relacionadas con fi guración funcionarán para la mayoría de las situaciones, pero puede haber problemas para conseguir conexio- nes a fluir

normalmente en sus direcciones previstos. Algunos de estos problemas pueden ser únicos en un entorno particular o con fi guración, pero se puede trabajar a través de la resolución de

problemas básicos.

104 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

No se puede acceder a internet desde WebGUI

Si el WebGUI no es accesible desde la LAN, la primera cosa a comprobar es el cableado. Si el cable es un cable hecho a mano o _shorter_ de 3 pies (un metro),
pruebe con otro cable. Si el PC cliente está conectado directamente a un dispositivo de red del cortafuego, un cable cruzado puede ser necesaria en hardware
antiguo que no tiene el apoyo Auto-MDIX en sus tarjetas de red. Esta no es una preocupación de gigabit o hardware más rápido.

Una vez que hay una luz de enlace en tanto la tarjeta de red del cliente y la interfaz LAN inalámbrica cortafuegos, compruebe la con fi ración TCP / IP gu- en el PC cliente. Si el servidor

DHCP está activado en el cortafuego, ya que es por defecto, asegurarse de que el cliente también está configurado para DHCP. Si DHCP está deshabilitado en el cortafuego, codificar una

dirección IP en el cliente que reside en la misma subred que la dirección IP de la LAN inalámbrica cortafuegos, con la misma máscara de subred, y el uso de la dirección IP de la LAN

inalámbrica cortafuegos como el servidor de puerta de enlace y DNS.

Si la configuración del cableado y la red es correcta, el cliente podrá hacer ping a la dirección IP LAN del cortafuego. Si el PC cliente puede hacer ping, pero no acceder a

la WebGUI, todavía hay unas cuantas cosas para probar. En primer lugar, si el error en el PC cliente es un reset o fallo de conexión, a continuación, ya sea el demonio del

servidor que ejecuta el WebGUI no se está ejecutando o el cliente está intentando utilizar el puerto incorrecto. Si el error es en cambio un tiempo de espera de conexión,

que apunta más hacia una regla fi cortafuegos. Si el cliente recibe un tiempo de espera de conexión, consulte ¿Qué hacer cuando cerró la puerta de los WebGUI . Con una

conexión de red configurada correctamente con fi, esto no debería ocurrir, y que el artículo ofrece formas de solucionar los problemas fi reglas de cortafuegos. a

comprobar que la WAN y LAN no están en la misma subred. Si WAN está configurado para DHCP y está enchufado detrás de otro router NAT, sino que también puede

ser el uso de 192.168.1.1. Si la misma subred está presente en la WAN y LAN, resultados impredecibles pueden ocurrir, incluso no ser capaz de ruta trá fi co o acceder a la

WebGUI. En caso de duda, desconecte el cable WAN, reinicie el cortafuegos fi pfSense, y vuelve a intentarlo.

Si el cliente recibe un restablecimiento de conexión, primero intenta reiniciar proceso del servidor theWebGUI desde la consola del sistema, por lo general la opción 11,
seguido por la opción 16 para reiniciar PHP-FPM. Si eso no ayuda, iniciar una cáscara de la consola (opción 8), y el tipo:

# sockstat | grep nginx

El cortafuego devolverá una lista de todos corriendo nginx procesos y el puerto sobre el que se está escuchando, como este:

raíz nginx 41948 5 tcp4 *: 443 *: *

raíz nginx 41948 6 tcp6 *: 443 *: *
raíz nginx 41948 7 tcp4 *: 80 *: *
raíz nginx 41948 8 tcp6 *: 80 *: *

En esa salida, muestra que el proceso está escuchando en el puerto 443 de cada interfaz en IPv4 e IPv6, así como el puerto 80 para la redirección, pero que
puede variar basado en la fi cortafuegos con fi guración.

Intente conectarse a la dirección IP de la LAN inalámbrica cortafuegos mediante el uso de ese puerto directamente, y con HTTP y HTTPS. Por ejem- plo, si la
dirección IP de LAN era 192.168.1.1, y se escucha en el puerto 82, tratar http://192.168.1.1:82
y https://192.168.1.1:82.

Sin Internet desde la LAN

Si el PC cliente es capaz de llegar a la WebGUI pero no el Internet, hay varias cosas a considerar. La interfaz WAN puede no ser adecuadamente con fi gura, la
resolución de DNS puede no estar funcionando, podría haber un problema con las reglas fi cortafuego, las reglas de NAT, o incluso algo tan simple como un
problema de puerta de enlace local.

Problemas de interfaz WAN

En primer lugar, comprobar la interfaz WAN para asegurarse de que está en funcionamiento. Vaya a Estado> Interfaces y mirar el PÁLIDO
estado de la interfaz allí. Si la interfaz está funcionando adecuadamente el estado se mostrará como “arriba”. Si se muestra “ninguna compañía” o “abajo”, vuelva a revisar
el cableado y la configuración WAN bajo Interfaces> WAN.

7.9. Solución de problemas 105

El libro pfSense, Liberación

Si la interfaz está utilizando PPPoE o PPTP para el tipo de WAN, hay una línea de estado adicional que indica si el PPP

conexión está activa. Si se trata de abajo, intente presionar el Conectar botón. Si eso no funciona, doble Vea toda la
configuración de la interfaz de Interfaces> WAN, comprobar o reiniciar el ISP CPE (módem cable / DSL, etc.), y tal vez consultar con el ISP para obtener ayuda con respecto a la

configuración y el estado del circuito.

Resolución de Problemas de DNS

Dentro de la WebGUI, vaya a Diagnóstico> Ping y entrar en la dirección de puerta de enlace ISP. La dirección de la pasarela está en la lista de Estado>
Interfaces para la interfaz WAN y bajo Estado> Gateways.

Si la puerta de entrada es desconocido, intente otra dirección válida conocida como 8.8.8.8. Si el cortafuego es capaz de hacer ping esa dirección y recibir una
respuesta, y luego repetir la misma prueba de ping desde el PC cliente. Abra un símbolo del sistema o en la ventana de terminal y de ping esa misma dirección IP.

Si el cliente puede hacer ping por dirección IP, a continuación, intente hacer ping a un sitio web por su nombre como por ejemplo www.google.com. Inténtelo de la interfaz gráfica de usuario fi

cortafuegos y desde el PC cliente. Si la prueba de ping IP funciona, pero el nombre test falla, entonces hay un problema con la resolución de DNS. Ver figura Conectividad de pruebas para Bogon

Actualizaciones para un ejemplo.

Si la resolución de DNS no funciona en el cortafuego, primer cheque que el servicio DNS está habilitado en el cortafuego y cómo es con fi gurado. Por defecto,
un cortafuegos fi pfSense es con fi gurado para usar la resolución DNS en un modo que no requiere ningún servidor DNS fi cas. Consulta los servidores raíz y
otros servidores autorizados directamente. Antiguas instalaciones e instalaciones mejoradas por defecto a la Forwarder DNS, que requiere servidores DNS que
debe inscribirse en Sistema> Configuración general o ser adquirido a partir de una dinámica WAN como DHCP o PPPoE. La resolución DNS también puede
operar en este modo si Habilitar el modo de reenvío se activa en su configuración.

Si la resolución DNS está activo pero el cortafuego no puede resolver nombres de host, el problema suele ser la falta de trabajo conectividad WAN. Aparte de eso,

una posibilidad es que la WAN o equipos de red aguas arriba no pasa correctamente el tráfico DNS fi co de una manera que sea compatible con DNSSEC.

DNSSEC desactivar en las opciones Resolver para ver si se permite la resolución de funcionar. También es posible que la fi ISP filtros de solicitudes de DNS y

requiere el uso de servidores DNS c especí fi. En ese caso, con fi gura servidores DNS y luego activar el modo de reenvío o cambiar a la Forwarder DNS. La

configuración del servidor DNS fi cortafuegos están bajo Sistema> Configuración general, y también son visibles en Estado> Interfaces.

Consulte con ping para estar seguro de estos servidores DNS son accesibles. Si el cortafuego puede llegar a la dirección de la pasarela en el ISP, pero no los servidores DNS,

póngase en contacto con el ISP y comprueba los valores. Si se obtienen los servidores DNS a través de DHCP o PPPoE y el cortafuego no puede llegar a ellos, póngase en contacto

con el ISP. Si todo lo demás falla, considere el uso de DNS público de Google (8.8.8.8, 8.8.4.4) servidores de nombres en la fi cortafuegos en lugar de los proporcionados por el ISP.

Si el DNS funciona desde el fi cortafuegos pfSense pero no desde un PC cliente, que podría ser el Resolver DNS o Forwarder con fi guración en el cortafuego, el aire
cliente fi guración, o las reglas cortafuego. Fuera de la caja, el Resolver DNS se encarga de las consultas DNS para los clientes detrás del cortafuego. Si el PC
cliente son con fi gurada con DHCP, recibirán la dirección IP de la interfaz fi cortafuegos al que están conectados como un servidor DNS, a menos que se cambie
manualmente. Por ejemplo, si un PC está en la interfaz LAN y la fi cortafuegos dirección IP LAN es 192.168.1.1, a continuación, el servidor DNS del cliente también
debe ser 192.168.1.1. Si la resolución de DNS y DNS Forwarder son discapacitados, ajustar los servidores DNS, que se asignan a los clientes DHCP bajo Servicios>
Servidor DHCP. Normalmente, cuando el Resolver DNS y DNS Forwarder están desactivados, los servidores DNS del sistema se asignan directamente a los clientes,
pero si ese no es el caso en la práctica de esta configuración, definen en la configuración de DHCP. Si el PC cliente no está con fi gurado para DHCP, asegúrese de
que tiene los servidores DNS apropiados establecidos: la dirección IP LAN del cortafuegos fi pfSense o un conjunto alternativo de trabajar servidores DNS internos o
externos.

Otra posibilidad para el DNS de trabajo de la fi cortafuegos pfSense pero no un cliente local es una norma demasiado estricta fi cortafuegos de la LAN. Comprobar Registros de

Estado> del sistema, sobre el firewall lengüeta. Si las conexiones bloqueadas aparecen en el registro del cliente local tratando de llegar a un servidor DNS, a continuación, añadir

una regla fi cortafuegos en la parte superior de la LAN reglas para esa interfaz que permitirá conexiones a los servidores DNS de TCP y UDP Puerto 53.

106 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Client Gateway Edición

Para que un pfSense fi cortafuegos para enrutar correctamente el tráfico de Internet fi co para la PC del cliente, que debe ser su puerta de entrada. Si los PC cliente son
con fi gurado con el servidor DHCP integrado en pfSense rewalls fi, este se ajustará automáticamente. Sin embargo, si los clientes reciben información de DHCP desde
un servidor DHCP alternativo o sus direcciones IP se han introducido manualmente, vuelva a comprobar que su puerta de entrada está ajustado para la dirección IP de la
interfaz a la que se conectan en la fi cortafuegos pfSense. Por ejemplo, si los clientes están en la interfaz de pfSense LAN y la dirección IP de la interfaz LAN es 192.168.1.1,

a continuación, la dirección de puerta de enlace en el PC cliente debe establecer en 192.168.1.1.

Problemas de reglas de cortafuegos

Si el valor por defecto “LAN a ninguna” regla ha sido cambiado o eliminado de la interfaz LAN, trá fi co de intentar acceder a Internet desde ordenadores cliente a través del
cortafuegos fi pfSense puede ser bloqueado. Esto es fácilmente confirmada por la navegación a Estado
> Registros del sistema y mirando a la firewall lengüeta. Si hay entradas bloqueado ahí que muestran las conexiones de LAN PC que intentan llegar a los servidores de Internet,
revisar el conjunto de reglas en LAN Firewall> Reglas, sobre el LAN pestaña para hacer los ajustes necesarios para permitir que el trá fi co. Consultar firewall para obtener información

más detallada sobre la edición o creación de reglas adicionales. Si funciona desde el lado de la LAN, pero no de una interfaz OPT, asegúrese de que el cortafuego tiene reglas en su

lugar para permitir que el tráfico pase a c. Regla no se crea de forma predeterminada en las interfaces OPT.

Regla NAT Cuestiones

Si las reglas NAT salientes han sido cambiados de los valores predeterminados, trá fi co de intentar acceder a Internet pueden no tener NAT aplica correctamente.
Navegar a Firewall> NAT, Saliente lengüeta. En la mayoría de los casos, el ajuste debe estar en generación de reglas NAT saliente automática. Si no es así, cambiar a la
configuración, haga clic Salvar y Aplicar cambios, y luego tratar de acceder a Internet desde un PC cliente nuevo. Si eso no ayuda de un PC en la LAN para salir,
entonces el problema es probable que en otros lugares.

Si NAT de salida se establece en generación de reglas NAT de salida Manual y las obras de acceso a Internet de LAN, pero no de una interfaz OPT, añaden
manualmente reglas que coincide con tra fi co procedente de la interfaz de TPO. Mira las reglas existentes para LAN y ajustar en consecuencia, o se refieren a NAT
salientes para obtener más información sobre cómo crear reglas NAT salientes.

Lo mismo se aplica para el trá fi co viene usuarios fromVPN: OpenVPN, IPsec, etc. Si estos usuarios necesitan acceder a Internet a través de este fi cortafuegos
pfSense, necesitarán reglas NAT salientes para sus subredes. Ver NAT salientes para más información.

pfSense XML Con fi guración del archivo

pfSense rewalls fi almacenar toda su configuración en un formato XML con fi guración fi l. Todos los ajustes con fi guración incluidos los ajustes de paquetes se llevan a cabo en

este archivo. Todos los demás con fi guración fi les de los servicios y el comportamiento del sistema se generan dinámicamente en tiempo de ejecución en base a los ajustes

conservados dentro del XML con fi guración fi l. Quienes están familiarizados con FreeBSD y sistemas operativos relacionados han encontrado esto de la manera difícil, cuando

sus cambios en el sistema con fi guración archivos se sobreescriben en repetidas ocasiones por el cortafuego antes de llegar a entender que pfSense se encarga de todo de

forma automática.

La mayoría de la gente nunca va a necesitar saber dónde está la con fi guración fi l reside, pero como referencia se encuentra en
/cf/conf/config.xml. Típicamente, / conf / es un enlace simbólico a / cf / conf, por lo que también puede ser accesible directamente desde / conf / config.xml, pero esto varía
según la plataforma y el diseño fi sistema de ficheros.

7.10. pfSense XML Con fi guración del archivo 107

El libro pfSense, Liberación

Edición manual de la con fi guración

Unas pocas opciones con fi guración sólo están disponibles mediante la edición manual de la con fi guración fi l, aunque esto no es necesario en la gran mayoría de las
implementaciones. Algunas de estas opciones se tratan en otras partes de este libro.

Advertencia: Incluso para los administradores experimentados todavía es fácil de editar incorrectamente la con fi guración fi l. Siempre mantenga copias de seguridad y ser

conscientes de que romper la con fi guración dará lugar a consecuencias no deseadas.

El método más seguro y más fácil de editar la con fi guración fi l es hacer una copia de seguridad de Diagnóstico> Backup / Restore, guardar el expediente a
un PC, edite el expediente y realizar los cambios necesarios, a continuación, restaurar la alterado con fi g- URACIÓN fi l para el cortafuego. Utilice un editor
que entiende correctamente los finales de línea de UNIX, y preferiblemente un editor que tiene un manejo especial para XML como resaltado de sintaxis. No
utilice notepad.exe en Windows. Para los administradores familiarizados con el vi redactor, el viconfig comando editar el funcionamiento con fi guración en vivo,
y después de guardar y salir del editor, el cortafuego eliminará la con fi guración de caché / tmp / config.cache

y luego los cambios serán visibles en la interfaz gráfica de usuario. Los cambios no estarán activos hasta que la próxima vez que el servicio correspondiente a la parte editada de la

con fi g se reinicia / Reloaded.

¿Qué hacer cuando cerró la puerta de los WebGUI

Bajo ciertas circunstancias, un administrador puede ser bloqueado fuera de la WebGUI. No tenga miedo si esto sucede; hay una serie de maneras de recuperar el
control. Algunos métodos son un poco complicado, pero es casi siempre posible recuperar el acceso. Los peores escenarios requieren acceso físico, ya que
cualquiera con acceso físico puede pasar por alto las medidas de seguridad.

Advertencia: Deje que las tácticas de esta sección sea una lección. La seguridad física de un cortafuego es crítica, especialmente en ambientes donde el
cortafuego se encuentra físicamente en un área común accesible a personas que no sean administradores autorizados.

Antes de tomar cualquiera de estos pasos, intente las credenciales predeterminadas:

Nombre de usuario administración

Contraseña pfSense

Contraseña olvidada

La contraseña de administrador fi cortafuegos se puede restablecer fácilmente utilizando la consola fi cortafuegos si se ha perdido. Acceder a la consola física (de serie o teclado /

monitor) y la opción de utilizar 3 para restablecer la contraseña WebGUI. Esta opción también puede restablecer la cuenta de administrador si se ha desactivado o expirado. Después

de restablecer la contraseña, el administración el usuario puede iniciar sesión con la contraseña por defecto pfSense.

Contraseña olvidada con una consola Bloqueado

Si la consola está protegida por contraseña, no todo está perdido. Se necesitan dos reinicios de lograr, pero la contraseña se puede restablecer con acceso físico a la
consola:

• Reiniciar el cortafuegos fi pfSense

• Elegir el Bota de usuario único opción ( 2) desde el menú del gestor (el que tiene el logotipo de pfSense ASCII)

• prensa entrar cuando se le solicite para iniciar / bin / sh

• Volver a montar todas las particiones como regrabable:

108 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

# / Sbin / mount -a -t UFS

• Ejecute el comando integrado de restablecimiento de contraseña:

# /etc/rc.initial.password

• Siga las instrucciones para restablecer la contraseña

• Reiniciar

Cuando el cortafuego se reinicia, el administración el usuario puede iniciar sesión con la contraseña por defecto pfSense.

HTTP vs Confusión HTTPS

Asegúrese de que el cliente se conecta con el protocolo adecuado, HTTP o HTTPS. Si uno no funciona, intente con el otro. Si la interfaz gráfica de usuario no ha sido con fi
gurado correctamente, el cortafuego puede estar ejecutando el GUI en una inesperada combinación de puerto y protocolo, tales como:

• http: // pfsensebox: 443

• https: // pfsensebox: 80

Para restablecer esto desde la consola, restablezca la dirección IP de la interfaz LAN, introduzca la misma dirección IP, y el guión pedirá para restablecer el WebGUI
volver a HTTP.

El acceso bloqueado con las reglas del cortafuegos

Si un administrador remoto pierde el acceso a la WebGUI debido a un cambio en las reglas fi cortafuegos, a continuación, el acceso todavía puede ser obtenida del lado de la LAN. Las

normas de LAN no pueden impedir el acceso a la interfaz gráfica de usuario a menos que la regla anti-bloqueo se desactiva. La regla anti-bloqueo asegura que los hosts en la LAN son

capaces de acceder a la WebGUI en todo momento, independientemente de las otras reglas en el bloque de interfaz LAN.

Tener que caminar a alguien en el lugar a través de fi jar la regla de la LAN es mejor que perder todo o tener que hacer un viaje a la ubicación fi
cortafuegos!

Remotamente Circumvent Firewall de bloqueo con las Reglas

Hay fewways para manipular el comportamiento cortafuego en el shell para recuperar el acceso a la interfaz gráfica de usuario fi cortafuegos. Las siguientes tácticas se enumeran

en el orden de lo fácil que es y cuánto impacto que tienen en el sistema en funcionamiento.

Añadir una regla con EasyRule

La forma más fácil, asumiendo el administrador conoce la dirección IP de un PC cliente remoto que necesita acceso, es el uso de la
easyrule shell script para añadir una nueva regla de cortafuegos fi. En el siguiente ejemplo, el easyrule guión permitirá el acceso a la interfaz WAN, desde xxxx
( la dirección IP del cliente) a aaaa ( presumiblemente, la dirección IP WAN) en el puerto TCP 443:

# pase easyrule wan tcp xxxx aaaa 443

Una vez el easyrule script agrega la regla, el cliente podrá acceder a la interfaz gráfica de usuario de la dirección de origen fi cado.

7.11. ¿Qué hacer cuando cerró la puerta de los WebGUI 109

El libro pfSense, Liberación

Agregar una regla de permitir que todos WAN de la concha

Otra táctica es activar temporalmente un “permitir todo” regla de la WAN para permitir que un cliente en.

Advertencia: Una regla de estilo “permitir todo” es peligroso tener en una interfaz WAN conectado a Internet. No olvide quitar la regla añadida por
este script

Para añadir una regla de “permitir todo” a la interfaz WAN, ejecute el siguiente comando en el intérprete de comandos:

# pfSsh.php reproducción enableallowallwan

Una vez que el administrador de acceso y recupera fi xes la emisión original evitando que lleguen a la interfaz gráfica de usuario, eliminar el “Permitir todo dominio” en la WAN.

Desactivar el cortafuegos

Un administrador puede (muy temporalmente) desactivar reglas fi cortafuego utilizando la consola física o SSH.

Advertencia: Esto desactiva completamente PF que deshabilita reglas cortafuego y NAT. Si la red a cargo de esta fi cortafuegos NAT depende de funcionar, lo
que la mayoría, a continuación, ejecutar este comando interrumpirá la conectividad de la red local a Internet.

Para desactivar el cortafuego, conectarse a la consola o ssh física y la opción de uso 8 para iniciar una concha, y escriba:

# pfctl -d

Este comando desactivará el cortafuego, incluyendo todas las funciones de NAT. El acceso a la WebGUI es ahora posible desde cualquier lugar, por lo menos por
fewminutes o hasta que un proceso en el fi cortafuegos hace que el conjunto de reglas que volver a cargar (que es casi todas las páginas guardar o Aplicar cambios acción).
Una vez que el administrador ha ajustado las reglas y recuperó el acceso necesario, girar el cortafuego de nuevo escribiendo:

# pfctl -e

Manual de conjuntos de reglas de edición

El conjunto de reglas cargado se retiene en / tmp / rules.debug. Si el administrador está familiarizado con la sintaxis PF conjunto de reglas, que pueden editar que fi l fi a veces el problema

de conectividad y volver a cargar esas reglas:

# pfctl -f /tmp/rules.debug

Después de volver a meterse en la WebGUI con ese temporal fi x, el administrador debe realizar cualquier trabajo es re quired en el WebGUI para
hacer la fi x permanente. Cuando las reglas se guardan en la WebGUI, la edición temporal para
/tmp/rules.debug será sobrescrito.

Remotamente Circumvent Firewall de bloqueo y de túnel SSH

Si el acceso remoto a la WebGUI es bloqueado por el cortafuego, pero se permite el acceso SSH, entonces no es una forma relativamente fácil de conseguir en: túnel
SSH.

Si el WebGUI es en el puerto 80, configurar el cliente SSH para redirigir el puerto local 443 ( o 4443, u otro puerto) a puerto remoto localhost: 443. Si el WebGUI fi
cortafuegos está en otro puerto, usar eso como el objetivo en su lugar. A continuación, señalar que el navegador https: // localhost. Añadir el puerto hasta el final de
la URL si es diferente de la predeterminada 443, por ejemplo,
https: // localhost: 4443. Si la interfaz gráfica de usuario está utilizando HTTP, cambie el protocolo de la URL para http: //.

110 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

Fig. 7.16: Configuración de un túnel del puerto 80 en la masilla SSH

7.11. ¿Qué hacer cuando cerró la puerta de los WebGUI 111

El libro pfSense, Liberación

Llenar las opciones como se muestra en la figura Configuración de un túnel del puerto 80 en la masilla SSH , a continuación, haga clic Añadir.

Una vez que el cliente se conecta y se autentica, WebGUI es accesible desde el puerto local redirigida.

Bloqueó debido a Calamar Con fi guración de error

Si un administrador fi cortafuegos accidentalmente estafadores figuras Squid para utilizar el mismo puerto que el WebGUI, puede causar una condición de carrera para el

control del puerto, dependiendo del servicio (re) comienza en un momento determinado. Si calamar logra hacerse con el control del puerto que WebGUI quiere, entonces

el WebGUI no será accesible a fi jar la con fi guración. El siguiente procedimiento puede ayudar a recuperar el control.

• Conectarse a la consola pfSense fi cortafuegos con SSH o el acceso físico

• Iniciar una concha, la opción 8 desde la consola.

• Terminar el proceso de calamar:

# parada /usr/local/etc/rc.d/squid.sh

Si eso no funciona, pruebe este comando:

# killall -9 calamar

o:

# apagado -k calamar

Una vez que el proceso de calamar está totalmente terminada, la opción de menú de la consola utilizar 11 para reiniciar el proceso WebGUI, y luego intentar acceder a la WebGUI de

nuevo.

Nota: Trabajar de forma rápida o repetir el comando de apagado, como el calamar puede reiniciarse automáticamente por sus guiones Toring moni- internos en función del
método utilizado para detener el proceso.

La mayoría pfSense con fi guración se realiza utilizando el fi gurator interfaz gráfica de usuario basada en web con (WebCon fi gurator), o WebGUI para abreviar. Hay algunas
tareas que también se pueden realizar desde la consola, ya sea un monitor y un teclado, más de un puerto serie, o a través de SSH.

Conexión a la WebGUI

Con el fin de llegar a la WebGUI, conectar con un navegador web desde un ordenador conectado a la LAN. Este ordenador puede estar conectado
directamente con un cable de red o conectado al mismo conmutador como la interfaz LAN del cortafuego. Por defecto, la dirección IP de la LAN de un nuevo
sistema de pfSense es 192.168.1.1 con un / 24 máscara ( 255.255.255.0),
y también hay un servidor DHCP en funcionamiento. Si el equipo está configurado para utilizar DHCP, debe obtener una dirección en la subred LAN de forma automática. A
continuación, abra un navegador y vaya a https://192.168.1.1 .

Advertencia: Si la subred LAN por defecto conflictos con la subred de la WAN, la subred LAN debe ser cambiado antes de conectarlo al resto
de la red.

La dirección IP de la LAN puede ser cambiado y DHCP puede ser desactivada mediante la consola:

• Abra la consola (VGA, serial, o el uso de SSH de otra interfaz)

• la opción 2 en el menú de la consola elegir

• Introduzca la nueva dirección IP de la LAN, máscara de subred, y especificar si se activa o no DHCP.

112 Capítulo 7. Con fi guración

 El libro pfSense, Liberación

• Introduzca la dirección de inicio y el final de la piscina DHCP si DHCP está activado. Esto puede ser cualquier intervalo dentro de la subred determinada.

Nota: Al asignar una nueva dirección IP LAN, no puede estar en la misma subred que el WAN o cualquier otra interfaz activa. Si hay otros dispositivos que ya están
presentes en la subred LAN, sino que también no se puede ajustar a la misma dirección IP como un host existente.

Si el servidor DHCP está desactivado, los equipos cliente de la LAN debe tener una dirección IP en la subred LAN pfSense estáticamente con fi gura, tales
como 192.168.1.5, con una máscara de subred que coincide con la dada a pfSense, tales como
255.255.255.0.

Una vez que el ordenador está conectado a la misma LAN que pfSense, navegar hacia la dirección IP de la LAN inalámbrica cortafuegos. La interfaz gráfica de usuario escucha en

HTTPS por defecto, pero si el navegador intenta conectarse a través de HTTP, se redirigir el fi cortafuegos al puerto HTTPS en lugar. Para acceder a la interfaz gráfica de usuario

directamente sin la redirección, el uso https://192.168.1.1 . Al cargar el WebGUI, la fi cortafuegos primera presenta una página de acceso. En esta página, introduzca las credenciales

predeterminadas:

nombre de usuario administración

contraseña pfSense

7.12. Conexión a la WebGUI 113

El libro pfSense, Liberación

114 Capítulo 7. Con fi guración

 CAPÍTULO

OCHO

Tipos de interfaces y CONFIGURACIÓN

Grupos de interfaz

A diferencia de las otras interfaces en este capítulo, una Interface Group no es un tipo de interfaz que se puede asignar. grupos de interfaces se utilizan para aplicar

cortafuego o reglas NAT a un conjunto de interfaces en una pestaña común. Si este concepto es desconocida, considerar cómo las reglas fi cortafuego para OpenVPN, el

servidor PPPoE, o el trabajo del servidor L2TP. Existen múltiples interfaces en el sistema operativo subyacente, pero las reglas para todos ellos son gestionados en una

única ficha para cada tipo. Si muchas interfaces de una función similar están presentes en el cortafuego que necesitan reglas prácticamente idénticos, un grupo interfaz

puede ser creado para añadir reglas a todas las interfaces al mismo tiempo. Interfaces todavía pueden tener sus propias reglas individuales, que se procesan después de

que las reglas del grupo. Para crear un grupo de interfaces:

• Navegar a Interfaces> (asignar), Grupos de interfaz lengüeta

• Hacer clic Añadir para crear un nuevo grupo

• Entrar a Nombre del grupo. Este nombre puede contener sólo letras mayúsculas y minúsculas, no hay números, espacios o caracteres especiales

• Entrar a Descripción del Grupo ( Opcional)

• Añadir como interfaces Miembros del grupo ctrl-clic para seleccionar las entradas de la lista de interfaces

• Hacer clic Salvar

grupos de interfaz tienen cada uno una pestaña debajo Cortafuegos> Reglas para gestionar sus reglas. Figura Grupo interfaz Tab reglas del cortafuegos Muestra la pestaña
regla fi cortafuegos para el grupo de fi nido en la fi gura Agregar grupo Interfaz

Ver también:

Con fi gurar reglas de cortafuego para obtener información sobre la gestión de reglas fi cortafuego.

Grupo de reglas de procesamiento de pedidos

El orden de procesamiento de reglas para las reglas de usuario es:

• flotante reglas

• las reglas del grupo Interfaz

• Normas sobre la interfaz directamente

Por ejemplo, si una regla en la ficha grupo coincide con una conexión, no serán consultadas las reglas de la ficha interfaz. Del mismo modo, si una regla flotante con Rápido conjunto
combinado de una conexión, no serán consultadas las reglas del grupo interfaz.

115
El libro pfSense, Liberación

Fig. 8.1: Agregar grupo Interfaz

Fig. 8.2: Interfaz Grupo Firewall Reglas Tab

116 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

El orden de procesamiento evita una combinación de reglas que de otro modo podría ser una buena fi cio. Por ejemplo, si una regla de bloqueo en general está presente en el

grupo, no puede ser anulado por una regla en una interfaz específica. Lo mismo con una regla de pase, una norma de interfaz fi co no puede bloquear el tráfico c transmite una

regla ficha de grupo.

Utilizar con interfaces WAN

No recomendamos el uso de grupos de interfaces con múltiples redes WAN. Si lo hace, puede parecer conveniente, pero las reglas del grupo no reciben el mismo
tratamiento que las reglas actuales de la ficha WAN. Por ejemplo, las normas sobre una pestaña para una interfaz de tipo WAN (puerta de enlace seleccionado en la
interfaz con fi guración) recibirá responder a que permite PF para volver trá fi co hacia atrás a través de la interfaz desde la que entró. normas ficha de grupo no reciben responder
a lo que efectivamente significa que el grupo gobierna única función como se esperaba en la WAN con la entrada de defecto.

Inalámbrico

los Inalámbrico lengüeta debajo Interfaces> (asignar) es para la creación y gestión de interfaces adicionales punto de acceso virtual (VAP). El uso de los VAP permite que múltiples

redes con SSID inalámbrico único que se funcionan con una sola tarjeta, si esa función es compatible con el hardware y el controlador está en uso. Un VAP se crea en el Inalámbrico

ficha, a continuación, asigna en el asignación de las interfaces lengüeta. En profundidad información sobre esta característica se puede encontrar en Inalámbrico .

VLAN

VLAN etiquetada las interfaces, o interfaces de etiquetado 802.1Q, se encuentran en el VLAN lengüeta debajo Interfaces> (asignar).
instancias de VLAN permiten que el sistema para hacer frente a tráfico c etiquetados por un 802.1Q interruptor capaz por separado como si cada etiqueta eran su propia interfaz distinta.

Una VLAN se crea en esta ficha, a continuación, asigna en el asignación de las interfaces lengüeta. En profundidad información sobre esta característica se puede encontrar en LAN

virtuales (VLAN) .

QinQs

La pestaña QinQs bajo Interfaces> (asignar) permite la creación de una interfaz compatible 802.1ad que también se conoce como
VLAN apiladas. Esta característica permite que múltiples etiquetas VLAN a estar contenidos en un único paquete. Esto puede ayudar en la realización de VLAN-etiquetados tráfico c
para otras redes a través de una red intermedia usando una etiqueta diferente o superpuestos. En profundidad información sobre esta característica se puede encontrar en pfSense

QinQ Con fi guración .

puentes

Puentes de interfaz, o múltiples interfaces atados juntos en un dominio de difusión común compartida capa 2, se crean y administran en el puentes lengüeta debajo Interfaces>
(asignar). Más información sobre el cierre, incluyendo la forma de crear y administrar los puentes, se encuentra en Bridging .

OpenVPN

Después de que se crea una instancia de OpenVPN, puede ser asignado bajo Interfaces> (asignar). Asignación de una interfaz OpenVPN permite reglas de interfaz-específico, y permite

que el interfaz que se utiliza en otras partes de la interfaz gráfica de usuario que requiere una interfaz asignada. Esto también provoca la creación de una puerta de enlace dinámico.

Esta puerta de enlace puede ser utilizado para el encaminamiento de política, o en un grupo de puerta de entrada para Multi-WAN. Ver Asignación de OpenVPN Interfaces para más

información.

8.2. Inalámbrico 117

El libro pfSense, Liberación

PPP

Hay cuatro tipos de interfaces PPP:

• Llanura PPP para 3G / 4G y dispositivos de módem

• PPPoE para DSL o conexiones similares

• PPTP y L2TP para los ISP que les exigen para la autenticación.

En la mayoría de los casos éstos se gestionan desde los parámetros de la interfaz directa, pero también pueden ser editados bajo Interfaces> (asignar) sobre el PPP lengüeta.

Multi-Link PPP (MLPPP)

Edición de una instancia PPP también permite Multi-Link PPP (MLPPP) con fi gurado para los proveedores compatibles. bonos MLPPP múltiples enlaces PPP en un solo

canal agregado más grande. A diferencia de otras técnicas multi-WAN, con MLPPP es posible utilizar el ancho de banda completo de todos los eslabones de una sola

conexión, y las preocupaciones habituales sobre el equilibrio de carga y conmutación por error no se aplican. El enlace MLPPP se presenta como una interfaz con una

dirección IP, y si un enlace falla, las funciones de conexión lo mismo pero con capacidad reducida. Para obtener más información sobre MLPPP, véase Las conexiones

WAN múltiples .

PPP (Point-to-Point Protocol) Tipos de interfaces

Añadir o editar una entrada de PPP de la siguiente manera:

• Navegar a Interfaces> (asignar) sobre el PPP lengüeta

• Hacer clic para editar una entrada existente o añadir una nueva entrada

• Establecer el tipo de enlace, que cambia las opciones restantes de la página. Los tipos de enlace se explican a lo largo del resto de esta
sección.

PPP (3G / 4G, Modem)

los PPP Tipo de enlace se utiliza para hablar con un módem a través de un dispositivo serie. Esto puede ser cualquier cosa de una red 3G / 4G USB dongle para acceder
a una red celular a un módem de hardware de edad para el acceso telefónico. Al seleccionar la PPP
Tipo de enlace, el Link Interface (s) lista se rellena con dispositivos de serie que pueden utilizarse para comunicarse con un módem. Haga clic en una entrada específico para

seleccionarlo para su uso. Después de seleccionar la interfaz, introducir opcionalmente un Descripción para la entrada PPP.

Nota: El dispositivo en serie para un módem no se detecta automáticamente. Algunos módems presentan como varios dispositivos, y el subdispositivo para la línea PPP
pueden ser cualquiera de las opciones disponibles, pero comenzar con el último dispositivo, vuelva a intentar la primera, y luego otros en entre si ninguno de los función.

Cuando con fi gurar una red 3G / 4G, el Proveedor de servicio Opciones pre-llenar otros campos relevantes en la página.

• Seleccione un País, como Estados Unidos, para activar el Proveedor desplegable con los proveedores de celulares conocidos en ese país

• Seleccione un Proveedor de la lista, como T-Mobile, para activar el Plan desplegable.

• Seleccione un Plan y los campos restantes serán llenada con valores conocidos para ese Proveedor y Plan

118 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

los Proveedor de servicio opciones pueden ser con fi gurar manualmente si se necesitan otros valores, o cuando se utiliza un proveedor que no está en la lista:

Nombre de usuario y contraseña Las credenciales utilizadas para el inicio de sesión PPP.

Número de teléfono El número a marcar en el ISP para obtener acceso. Para 3G / 4G esto tiende a ser un número tal
como 99 # o # 777, y de acceso telefónico esto es por lo general un número de teléfono de telefonía tradicional.

Nombre de punto de acceso (APN) Este campo es requerido por algunos proveedores de Internet para identificar el servicio al que el cliente

conecta. Algunos proveedores utilizan esto para distinguir entre los planes de consumo y de negocios, o redes heredadas.

Número de APN ajuste opcional. Por defecto es 1 si el APN está establecido, y se ignoran cuando APN no está definido.

PIN de la SIM Código de seguridad de la tarjeta SIM para evitar el uso no autorizado de la tarjeta. No escriba nada aquí
Si la tarjeta SIM no tiene un PIN.

SIM PINWait Número de segundos de espera para SIM para descubrir la red después de que el PIN se envía a la tarjeta SIM.

Si el retraso no es lo suficientemente largo, la SIMmay no tiene tiempo para inicializar correctamente después de desbloquear.

cadena de inicialización La cadena de inicialización del módem, si es necesario. No incluye A al comienzo de la

mando. La mayoría de los módems modernos no requieren una cadena de inicialización personalizado.

El tiempo de conexión expiro Tiempo de espera para un intento de conexión para tener éxito, en cuestión de segundos. Por defecto es 45 sec

onds.

el tiempo de actividad de registro Cuando se activa, el tiempo de funcionamiento de la conexión se realiza un seguimiento y se muestra en Estado>

Interfaces.

PPPoE (Point-to-Point Protocol over Ethernet)

PPPoE es un método popular de la autenticación y el acceso a una red ISP, encuentra más comúnmente en las redes DSL.

Para con fi gurar un enlace PPPoE, comenzar por establecer Tipo de enlace a PPPoE y completar el resto de la configuración de la siguiente manera:

Link Interface (s) Las interfaces de la lista de redes que pueden ser utilizados para PPPoE. Estos son típicamente física
las interfaces, pero también puede trabajar sobre algunos otros tipos de interfaces, tales como VLAN. Seleccione uno para PPPoE normal o
múltiple para MLPPP.

Descripción Una descripción de texto opcional de la entrada PPP

Nombre de usuario y contraseña Las credenciales para este circuito PPPoE. Estos serán proporcionados por
el ISP, y el nombre de usuario es típicamente en la forma de una dirección de correo electrónico, tales como
[email protected].

Nombre del Servicio Se deja en blanco para la mayoría de los ISP, algunos requieren que esto se establece en un valor específico. Póngase en contacto con el ISP

para confirmar el valor si la conexión no funciona cuando se deja en blanco.

Con fi gura Nombre del servicio NULL Algunos ISP requieren NULO ser enviado en lugar de un nombre de servicio en blanco.

Marque esta opción cuando el ISP considera que este comportamiento es necesario.

Restablecer periódica Con fi guras un tiempo preestablecido cuando la conexión se cayó y se reinicia. Esto es
rara vez es necesaria, pero en ciertos casos puede manejar mejor las reconexiones cuando un ISP ha forzado reconexiones diarias o
comportamiento peculiar similar.

PPTP (Point-to-Point Tunneling Protocol)

No debe confundirse con una VPN PPTP, este tipo de interfaz PPTP está destinado a conectarse a un ISP y autenticar, lo mismo que funciona PPPoE. Las
opciones para una WAN PPTP son idénticas a las opciones PPPoE del mismo nombre. Consulte la sección anterior para obtener información con fi
guración.

8.7. PPP 119

El libro pfSense, Liberación

L2TP (Layer 2 Tunneling Protocol)

L2TP, ya que es con fi gurado aquí, se utiliza para la conexión a un ISP que lo requiere para la autenticación como un tipo de red WAN. L2TP funciona de forma idéntica a
PPTP. Consulte las secciones anteriores para obtener información con fi guración.

Opciones avanzadas de PPP

Todos los tipos de APP tienen varias opciones avanzadas en común que puede ser editado en sus entradas aquí. En la mayoría de los casos éstos

configuración no es necesario modificar. Para mostrar estas opciones, haga clic Mostrar avanzada.

Marque cuando lo desee El comportamiento por defecto de un enlace PPP es conectar de inmediato y lo hará de inmediato
intentará volver a conectarse cuando se pierde un enlace. Este comportamiento se describe como Siempre. Marque cuando lo desee

retrasará este intento de conexión. Cuando se establece, el cortafuego esperará hasta que un paquete intenta salir de la interfaz a través de
este, y luego se conectará. Una vez conectado, no se desconectará automáticamente.

Tiempo de inactividad Una conexión PPP se llevará a cabo abierto inde fi nidamente por defecto. Un valor en Tiempo de inactividad,

especificados en segundos, hará que el cortafuego para supervisar la línea para la actividad. Si no hay trá fi co en el enlace para la cantidad de
tiempo determinado, se desconectará el enlace. Si Marque cuando lo desee También se ha establecido, el cortafuego volverá a marcar bajo
demanda modo.

Nota: pfSense llevará a cabo la vigilancia de puerta de enlace por defecto que generará dos pings ICMP por segundo en la interfaz. Tiempo de
inactividad no funcionará en este caso. Esto se puede evitar mediante la edición de la puerta de entrada para este enlace PPP, y la comprobación Desactivar
la puerta de enlace de Seguimiento.

Compresión (vjcomp) Esta opción controla si o no la compresión de cabeceras Van Jacobson TCP
ser usado. Por defecto se negociará con los pares durante el registro, por lo que si ambas partes admiten la función se va a utilizar.
Comprobación Desactivar vjcomp hará que la función para siempre estar desactivado. normal- mente esta característica es beneficiosa, ya
que ahorra varios bytes por paquete de datos TCP. La opción casi siempre debe permanecer habilitado. Esta compresión es ineficaz para
las conexiones TCP con extensiones modernas habilitados como de fecha y hora o un saco, que modifican las opciones de TCP entre
paquetes secuenciales.

TCP MSS Fix La opción tcpmss fi x hace que el demonio PPP para ajustar entrante y saliente TCP SYN
segmentos de manera que el tamaño de segmento máximo solicitado (MSS) no es mayor que la cantidad permitida por la interfaz de MTU. Esto
es necesario en la mayoría de los casos para evitar problemas causados ​por los routers que la caída de los mensajes ICMP de datagramas de
“demasiado grande”. Sin estos mensajes, la máquina de origen envía datos, pasa el router pícaro continuación, golpea una máquina que tiene
una MTU que no es lo suficientemente grande para los datos. Debido a que la IP “no fragmentar” opción está activada, esta máquina envía un
mensaje ICMP “de Datagrama demasiado grande” de nuevo al autor y descarta el paquete. El router pícaro descarta el mensaje ICMP y el autor
nunca llega a descubrir que se debe reducir el tamaño de los fragmentos o dejar caer el PI opción de sus datos salientes No fragmentar. Si este
comportamiento no es deseable, comprobar Desactivar tcpmss fi x.

Nota: Los valores de MTU y del SMS para la interfaz también se pueden ajustar en la página ración gu- con fi de la interfaz bajo la Interfaces
menú, como Interfaces> WAN.

Secuencia corta (ShortSeq) Esta opción sólo tiene sentido si se negocia MLPPP. Se proscribe más corto
multibrazo cabeceras de fragmentos, el ahorro de dos bytes en cada cuadro. No es necesario deshabilitar esto para conexiones que no
son multi-link. Si MLPPP está activa y esta función debe ser desactivada, compruebe
shortseq Desactivar.

Dirección de control de compresión Field (AFCComp) Esta opción sólo se aplica a tipos de enlaces asíncronos.
Se ahorra dos bytes por trama. Para desactivar esto, compruebe Desactivar ACF compresión.

120 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

Compresión de Campo del Protocolo (ProtoComp) Esta opción guarda un byte por cuadro para la mayoría de los marcos. A
desactivar esto, compruebe Desactivar Protocolo de Compresión.

GRE (Generic Routing Encapsulation)

Generic Routing Encapsulation (GRE) es un método de construcción de túneles tráfico c entre dos routers sin cifrado. Se puede utilizar para enrutar paquetes

entre dos lugares que no están conectados directamente, que no requieren cifrado. También se puede combinar con un método de cifrado que no realiza su

propio túnel. IPsec en transporte modo se puede utilizar para GRE túnel encriptado tráfico c de una manera que permite el encaminamiento tradicional o el uso

de los protocolos de enrutamiento. El protocolo GRE fue diseñado originalmente por Cisco, y es el modo de túnel por defecto en muchos de sus dispositivos.

Para crear o administrar una interfaz GRE:

• Navegar a Interfaces> (asignar), GRE lengüeta

• Hacer clic Añadir para crear una nueva instancia de GRE, o haga clic para editar una interfaz existente.

• Completar la configuración de la siguiente manera:

interfaz de padres La interfaz sobre la cual terminará el túnel GRE. A menudo, esto será WAN
o una conexión de tipo WAN.

GRE dirección remota La dirección del par remoto. Esta es la dirección donde los paquetes GRE
será enviada por este fi cortafuegos; La dirección externa enrutable en el otro extremo del túnel.

túnel GRE dirección local La dirección interna para el final del túnel en este fi cortafuegos. La re fi
pared utilizará esta dirección para su propio tráfico c en el túnel, y tunelizado tráfico remoto fi c sería enviado a esta dirección
por el par remoto.

dirección remota túnel GRE La dirección utilizada por el cortafuego interior del túnel para llegar a la otra
fin. Traf fi c destinada para el otro extremo del túnel debe utilizar esta dirección como una puerta de enlace para fines de enrutamiento.

GRE túnel de subred La máscara de subred de la dirección de la interfaz GRE.

Descripción Una breve descripción de este túnel GRE para fines de documentación.

• Hacer clic Salvar

GIF (interfaz de túnel Generic)

Un túnel Generic Interface (GIF) es similar a GRE; Ambos protocolos son un medio para el tráfico túnel fi c entre dos anfitriones sin cifrado. Además de un
túnel IPv4 o IPv6 directamente, GIF se puede usar para IPv6 túnel a través de redes IPv4 y viceversa. túneles GIF se utilizan comúnmente para obtener
conectividad IPv6 a los corredores de túnel, tales como Hurricane Electric y SixXS en lugares donde la conectividad IPv6 no está disponible.

Ver también:

Ver Conexión con un túnel de Service Broker para obtener información sobre la conexión a un servicio tunnelbroker. interfaces de GIF llevan más información a

través del túnel que se puede hacer con GRE, pero GIF no se admite la forma más amplia. Por ejemplo, un túnel GIF es capaz de capa de puenteo 2 entre dos

regiones, en tanto GRE no puede. Para crear o administrar una interfaz GIF:

• Navegar a Interfaces> (asignar), GIF lengüeta

8.8. GRE (Generic Routing Encapsulation) 121

El libro pfSense, Liberación

• Hacer clic Añadir para crear una nueva instancia GIF, o haga clic para editar una interfaz existente.

• Completar la configuración de la siguiente manera:

interfaz de padres La interfaz sobre la cual terminará el túnel GIF. A menudo, esto será WAN
o una conexión de tipo WAN.

GIF dirección remota La dirección del par remoto. Esta es la dirección donde los paquetes GIF
será enviada por este fi cortafuegos; La dirección externa enrutable en el otro extremo del túnel. Por ejemplo, en un
túnel IPv6-en-IPv4 a Hurricane Electric, este sería el dirección IPv4 del servidor de túnel, tales como 209.51.181.2.

túnel GIF dirección local La dirección interna para el final del túnel en este fi cortafuegos. El cortafuego
utilizará esta dirección para su propio trá fi co en el túnel y túnel tráfico remoto fi co serían enviados a esta dirección por el

par remoto. Por ejemplo, cuando un túnel IPv6-en-IPv4 a través de Hurricane Electric, se refieren a esto como el Dirección IPv6

cliente. dirección remota túnel GIF La dirección utilizada por el cortafuego interior del túnel para llegar a la otra

fin. Traf fi c destinada para el otro extremo del túnel debe utilizar esta dirección como una puerta de enlace para fines de enrutamiento.

Por ejemplo, cuando un túnel IPv6-en-IPv4 a través de Hurricane Electric, se refieren a esto como el Dirección IPv6 del servidor. GIF túnel

de subred La máscara de subred o pre longitud fi x para la dirección de interfaz. En este ejemplo,

sería 64.

El almacenamiento en caché de rutas La opción de almacenamiento en caché de la ruta activa o desactiva la ruta hacia el extremo remoto

se almacena en caché. Si la ruta a la distancia entre pares es estático, el establecimiento de esto puede evitar una búsqueda de rutas por paquete. Sin

embargo, si el camino hasta el otro lado puede cambiar, esta opción podría resultar en la GIF tráfico no fluya cuando los cambios de ruta c.

Comportamiento ECN friendly La opción de un comportamiento respetuoso con ECN controla si o no la explícita
Congestión Noti fi cación (ECN) práctica -Friendly de copiar el bit TOS en / fuera del tráfico túnel fi c se realiza por el cortafuego. Por
defecto, el cortafuego borra el bit TOS en los paquetes o ajustarlo en el 0, dependiendo de la dirección del tráfico c. Con este conjunto de
opciones, el bit se copia según sea necesario entre los paquetes de interior y exterior para ser más amigable con los routers intermedios
que pueden realizar tráfico c conformación. Este comportamiento se rompe RFC 2893 por lo que sólo se debe utilizar cuando ambos
compañeros están de acuerdo para activar la opción.

Descripción Una breve descripción de este túnel GIF para fines de documentación.

• Hacer clic Salvar

Nota: Si la interfaz GIF se asigna bajo Interfaces> (asignar), selecciona el Con IPv4 Tipo fi guración y Con IPv6 Tipo fi guración a Ninguna. El
cortafuego creará automáticamente una puerta de enlace dinámico en esta situación.

LAGG (Link Aggregation)

La agregación de enlaces es manejado por lagg (4) interfaces de tipo (LAGG) en pfSense. LAGG combina múltiples interfaces físicas juntos como una interfaz lógica.

Hay varias maneras en que esto puede funcionar, ya sea para la obtención de ancho de banda adicional, redundancia, o alguna combinación de los dos. Para crear o

administrar las interfaces LAGG:

• Navegar a Interfaces> (asignar), LAGGs lengüeta

• Hacer clic Añadir para crear un nuevo LAGG, o haga clic para editar una instancia existente.

122 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

• Completar la configuración de la siguiente manera:

Interfaces de padres Esta lista contiene todas las interfaces no asignados actualmente y miembros de la corriente
LAGG interfaz al editar una instancia existente. Para añadir interfaces para esta LAGG, seleccione una o más interfaces en esta
lista.

Nota: Una interfaz sólo puede añadir a un grupo LAGG si no se asigna. Si una interfaz no está presente en la lista, es probable
que ya asignado como una interfaz.

Protocolo LAGG Actualmente hay seis modos de funcionamiento diferentes para las interfaces LAGG: LACP, de conmutación por error,

Equilibrar la carga, FEC, Round Robin, y Ninguno.

LACP El protocolo LAGG más comúnmente utilizado. Este modo es compatible con IEEE 802.3ad
Protocolo de Control de agregación de enlaces (LACP) y el Protocolo de marcador. En el modo LACP, la negociación se lleva a
cabo con el interruptor - que también debe ser compatible con LACP - para formar un grupo de puertos que están activos al
mismo tiempo. Esto es lo conocido como Grupo de agregación de enlace, o el LAG. La velocidad y la MTU de cada puerto en
un LAG deben ser idénticos y los puertos también deben ejecutar en duplex completo. Si el enlace se pierde a un puerto en el
GAL, GAL sigue funcionando, pero con una capacidad reducida. De esta manera, un haz LACP LAGG puede ganar tanto la
redundancia y mayor ancho de banda.

Tra fi co está equilibrado entre todos los puertos en el LAG, sin embargo, para la comunicación entre dos máquinas individuales
sólo utilizará un único puerto a la vez debido a que el cliente sólo hablará con una dirección MAC a la vez. Para múltiples
conexiones a través de múltiples dispositivos, esta limitación se convierte efectivamente irrelevante. También la limitación no es
relevante para la conmutación por error.

Además de con fi gurar esta opción en pfSense, el interruptor debe habilitar LACP en estos puertos o tienen los puertos
agrupados en un grupo GAL. Ambas partes deben estar de acuerdo en la con fi guración con el fin de que funcione
correctamente.

conmutación por error Cuando se utiliza la conmutación por error LAGG protocolo de tráfico c sólo será enviado en el primario

interfaz del grupo. Si la interfaz principal falla, entonces trá fi co usará la siguiente interfaz disponible. La
interfaz principal es la interfaz primer seleccionado en la lista, y continuará en orden hasta que llega al final
de las interfaces seleccionadas.

Nota: Por defecto, tráfico c solamente puede ser recibido en la interfaz activa. Crear un sistema para
sintonizable net.link.lagg.failover_rx_all con un valor de 1 para permitir tráfico c para ser recibido en cada
interfaz miembro.

Equilibrio de carga el modo de equilibrio de carga acepta tráfico entrante fi co en cualquier puerto del grupo LAGG

y los saldos de salida trá fi co en cualquiera de los puertos activos en el grupo LAGG. Se trata de una configuración estática que

no supervisa el estado del enlace ni negociar con el interruptor. Salida tráfico c es equilibra la carga sobre la base de todos los

puertos activos en el LAGG utilizando un hash calculado utilizando varios factores, tales como la dirección de origen y destino IP,

la dirección MAC, y la etiqueta de VLAN.

FEC modo FEC soporta Cisco EtherChannel y es un alias para el modo de equilibrio de carga.

round Robin Este modo acepta tráfico entrante fi co en cualquier puerto del grupo y LAGG
envía saliente tráfico c utilizando un algoritmo de programación robin ronda. Normalmente, esto significa que tráfico c será
enviado en secuencia, usando cada interfaz en el grupo a su vez.

Ninguna Este modo desactiva tráfico c en la interfaz LAGG sin desactivar la interfaz
sí mismo. El sistema operativo todavía creen que la interfaz está funcionando y utilizable, pero sin trá fi co será enviado o recibido en el

grupo.

Descripción Una breve nota sobre el propósito de esta instancia LAGG.

8.10. LAGG (Link Aggregation) 123

El libro pfSense, Liberación

• Hacer clic Salvar

Después de crear una interfaz LAGG, funciona como cualquier otra interfaz física. Asignar la interfaz lagg bajo Interfaces
> (asignar) y darle una dirección IP, o construir otras cosas en la parte superior de la misma, tales como VLAN. Debido a las limitaciones en FreeBSD, lagg (4) no soporta altq
(4) lo que no es posible utilizar el fi c talladora de tráfico en LAGG interactúa directamente. VLAN (4) soporte de interfaces altq (4) y las VLAN se pueden utilizar en la parte

superior de interfaces LAGG, por lo que usan las VLAN pueden solucionar el problema. Como solución alternativa, limitadores puede controlar el uso de ancho de banda en

las interfaces LAGG.

Interfaz Con fi guración

Para asignar una nueva interfaz:

• Navegar a Interfaces> (asignar)

• Recoger la nueva interfaz de la puertos de red disponibles lista

• Hacer clic Añadir

La nueva interfaz de asignación se mostrará en la lista. La nueva interfaz tendrá un nombre predeterminado asignado por el cortafuego como OPT1 o OPT2, con el
número cada vez mayor en función de su orden de asignación. Las dos primeras interfaces de forma predeterminada a los nombres de WAN y LAN, sino que
puede ser renombrado. Estos nombres aparecen bajo el OptX Interfaces menú, como Interfaces> OPT1. Al seleccionar la opción de menú de la interfaz se abrirá la
página de con fi guración para esa interfaz.

Las siguientes opciones están disponibles para todos los tipos de interfaz.

Descripción

El nombre de la interfaz. Esto va a cambiar el nombre de la interfaz en el Interfaces menú, en los registros bajo
Firewall> Reglas, debajo Servicios> DHCP, y en otros lugares a lo largo de la GUI. Los nombres de interfaces pueden contener sólo letras, números y el único
carácter especial que se permite es un guión bajo ( “_”). El uso de un nombre personalizado hace que sea más fácil de recordar el propósito de una interfaz y para
identificar una interfaz para añadir reglas fi cortafuego o elegir otras funcionalidades por interfaz.

Con IPv4 Tipo fi guración

Con fi guras los valores de IPv4 para la interfaz. Los detalles de esta opción se encuentran en la siguiente sección, Tipos de WAN IPv4 .

Con IPv6 Tipo fi guración

Con fi guras los parámetros de IPv6 para la interfaz. Los detalles de esta opción están en Tipos IPv6 WAN .

Dirección MAC

La dirección MAC de una interfaz se puede cambiar ( “falso”) para imitar una pieza anterior de los equipos.

Advertencia: Se recomienda evitar esta práctica. El viejo MAC generalmente se aclararía por restablecer el equipo al que se conecta este fi cortafuegos, o
en la limpieza de la tabla ARP, o en espera de las antiguas entradas ARP de expirar. Se trata de una solución a largo plazo para un problema temporal.

124 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

Spoo fi ng de la dirección MAC de la anterior cortafuego puede permitir una transición suave de un viejo router a un nuevo router, por lo que almacena en caché ARP en los

dispositivos y routers aguas arriba no son una preocupación. También se puede utilizar para engañar a una parte del equipo en la creencia de que está hablando con el mismo

dispositivo que estaba hablando antes, al igual que en los casos en que un determinado enrutador de red está utilizando ARP estática o filtros de otra manera Fi basado en dirección

MAC. Esto es común en los módems de cable, en los que pueden requerir la dirección MAC para ser registrada si cambia.

Una desventaja de SPOO fi ng de la dirección MAC es que a menos que la vieja pieza de equipo se retiró de forma permanente, se corre el riesgo de tener más adelante

una dirección MAC conflicto en la red, que puede conducir a problemas de conectividad. problemas de caché ARP tienden a ser muy temporal, resolviendo de forma

automática en cuestión de minutos o apagando y encendiendo otro equipo. Si la antigua dirección MAC debe ser restaurada, esta opción debe ser descargada y entonces

el cortafuego debe ser reiniciado. Como alternativa, introduzca la dirección MAC original de la tarjeta de red y guardar / aplicar, a continuación, vaciar el valor nuevo.

MTU (Maximum Transmission Unit)

La unidad de transmisión máxima ( MTU) tamaño de campo por lo general puede ser dejado en blanco, pero se puede cambiar cuando sea necesario. Algunas situaciones pueden requerir

una MTU inferior para asegurar los paquetes están dimensionados adecuadamente para una conexión a Internet. En la mayoría de los casos, el valor por defecto asume valores para el

tipo de conexión WAN funcionarán correctamente. Se puede aumentar para aquellos que utilizan tramas gigantes en su red.

En una red Ethernet de estilo típico, el valor predeterminado es de 1500, pero el valor real puede variar dependiendo de la interfaz con fi guración.

MSS (tamaño máximo de segmento)

Al igual que en el campo MTU, el MSS campo “abrazadera” el tamaño máximo de segmento (MSS) de conexiones TCP con el tamaño fi cado con el fin de
evitar problemas con Path MTU Discovery.

Velocidad y dúplex

El valor predeterminado de velocidad de enlace y dúplex es dejar que el cortafuego decidir qué es lo mejor. Esa opción por defecto es típicamente

Selección automática, el que negocia las mejores configuraciones de velocidad y dúplex posibles con los pares, típicamente un interruptor. El ajuste de velocidad y dúplex en una interfaz

debe coincidir con el dispositivo al que está conectado. Por ejemplo, cuando el cortafuego se establece en Selección automática, El interruptor también debe ser con fi gurada para Selección

automática. Si el interruptor u otro dispositivo tiene una velocidad fi específico y duplex forzada, debe ser emparejado por el cortafuego.

Bloque Redes Privadas

Cuando Bloquear las redes privadas está activo pfSense inserta automáticamente una regla que impide cualquier RFC 1918 redes ( 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16) y de bucle de retroceso ( 127.0.0.0/8) de la comunicación en esa interfaz. Esta opción es por lo general sólo es deseable en interfaces de
tipo WAN para evitar la posibilidad de numeración privado fi c tráfico que entra a través de una interfaz pública.

redes de bloques Bogon

Cuando redes de bloques Bogon pfSense es activa bloqueará trá fi co de una lista de redes no asignados y reservados. Esta lista se actualiza periódicamente por
el cortafuego de forma automática.

Ahora que todo el espacio IPv4 ha sido asignado, esta lista es bastante pequeño, que contiene la mayoría de las redes que se han reservado de alguna manera por la
IANA. Estas subredes nunca deben estar en uso activo en una red, especialmente uno frente a la Internet, por lo que es una buena práctica para habilitar esta opción
en interfaces de tipo WAN. Para IPv6, la lista es bastante grande,

8.11. Interfaz Con fi guración 125

El libro pfSense, Liberación

que contiene trozos considerables de la posible espacio IPv6 que todavía tiene que ser asignado. En los sistemas con bajas cantidades de memoria RAM, esta lista puede ser

demasiado grande, o el valor por defecto de Firewall entradas de tabla de máximos puede ser demasiado pequeña. Ese valor se puede ajustar bajo Sistema> Avanzado sobre el Cortafuegos

y NAT lengüeta.

Tipos de WAN IPv4

Una vez que se ha asignado una interfaz, en la mayoría de los casos se requerirá una dirección IP. Para las conexiones IPv4, las siguientes opciones están disponibles:
IPv4 estática, DHCP, PPP, PPPoE, PPTP y L2TP. Estas opciones son seleccionadas usando la Con IPv4 Tipo fi guración selector en una página de la interfaz (por
ejemplo, Interfaces> WAN).

Ninguna

Cuando Con IPv4 Tipo fi guración se establece en Ninguna, IPv4 está desactivada en la interfaz. Esto es útil si la interfaz no tiene conectividad IPv4 o si la dirección
IP en la interfaz está siendo manejado de alguna otra forma, como por ejemplo para una interfaz de OpenVPN o GIF.

IPv4 estática

Con IPv4 estática, La interfaz contiene una dirección IP fi gurada con forma manual. Cuando elegido, tres campos adicionales están disponibles en la pantalla de interfaz con
fi guración: Dirección IPv4, un selector de máscara de subred CIDR, y el Aguas arriba de puerta de enlace IPv4 campo.

Para con fi gura la interfaz para IPv4 estática en una interfaz interna (por ejemplo, LAN, DMZ):

• Seleccionar IPv4 estática debajo Con IPv4 Tipo fi guración

• Introduzca la dirección IPv4 para la interfaz en el dirección IPv4 caja

• Seleccione la máscara de subred adecuada desde el desplegable CIDR después de que el cuadro de dirección

• No seleccione una Aguas arriba de puerta de enlace IPv4

Para con fi gurar la interfaz para IPv4 estática en una interfaz de tipo de WAN:

• Seleccionar IPv4 estática debajo Con IPv4 Tipo fi guración

• Introduzca la dirección IPv4 para la interfaz en el dirección IPv4 caja

• Seleccione la máscara de subred adecuada desde el desplegable CIDR después de que el cuadro de dirección

• Realice una de las siguientes para utilizar una puerta de enlace en la interfaz:

- Seleccione una Aguas arriba de puerta de enlace IPv4 de la lista, O

- Hacer clic Agregar una nueva puerta de enlace para crear una nueva puerta de enlace si no existe ya. Al hacer clic en ese botón muestra un formulario

modal para agregar la puerta de entrada sin salir de esta página. Rellenar los datos solicitados en el formulario nuevo:

Puerta de enlace predeterminada Si este es el único WAN o será un nuevo valor predeterminado WAN, marque esta casilla. los

por defecto puertas de enlace IPv4 e IPv6 de forma independiente el uno del otro. Los dos no tiene por qué ser en el mismo circuito. Cambio de la

puerta de enlace predeterminada IPv4 tiene ningún efecto sobre la puerta de entrada de IPv6, y viceversa.

Nombre de puerta de enlace El nombre utilizado para referirse a la pasarela internamente, así como en lugares como Gate-

Grupos manera, los gráficos de calidad, y en otros lugares.

126 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

gateway IPv4 La dirección IP de la pasarela. Esta dirección debe estar dentro de la misma subred
como la dirección estática IPv4 cuando se utiliza este formulario.

Descripción Un poco de texto para indicar el fin de la pasarela.

* Haga clic Añadir

Nota: Selección de una Aguas arriba de puerta de enlace IPv4 de la lista desplegable o la adición y la selección de una nueva puerta de entrada hará que pfSense tratar esta
interfaz como una interfaz de tipo de WAN para NAT y funciones relacionadas. Esto no es deseable para las interfaces internas tales como LAN o una DMZ. Gateways todavía
se pueden usar en las interfaces internas con el propósito de rutas estáticas sin seleccionar una Aguas arriba de puerta de enlace IPv4 aquí en la pantalla de interfaces.

DHCP

Cuando una interfaz se establece en DHCP, pfSense intentará automática IPv4 con fi guración de esta interfaz a través de DHCP. Esta opción también activa varios campos
adicionales en la página. Bajo estas circunstancias, la mayoría de los campos adicionales pueden dejarse en blanco.

nombre de host Algunos ISP requieren la nombre de host para el cliente de identi fi cación. El valor en el nombre de host campo

se envía como el cliente DHCP identi fi cador y el nombre de host al solicitar una concesión DHCP.

Alias ​de direcciones IPv4 Este valor se utiliza como un alias de dirección IPv4 fijado por el cliente DHCP desde un típico IP
Alias ​VIP no se puede utilizar con DHCP. Esto puede ser útil para acceder a una pieza de equipo en una red separada, numeradas
estáticamente fuera del ámbito DHCP. Un ejemplo sería para llegar a una dirección IP de administración módem de cable.

Rechazar alquila a Una dirección IPv4 de un servidor DHCP que debe ser ignorado. Por ejemplo, un cable
módem que reparte las direcciones IP privadas cuando el cable de sincronización se ha perdido. Introduzca la dirección IP privada del módem
aquí, por ejemplo, 192.168.100.1 y el cortafuego nunca va a recoger o tratar de utilizar una dirección IP de un servidor suministrado por el fi
cado.

Con fi guración avanzada Permite opciones para controlar la sincronización de protocolo. En la gran mayoría de los casos
esto debe ser dejado sin control y las opciones dentro sin cambios.

Timing Protocol Los campos en esta área dan fi de control de grano fino sobre el momento utilizado por
dhclient en la gestión de una dirección en esta interfaz. Estas opciones son casi siempre dejarse en sus valores por
defecto. Para más detalles sobre lo que controla cada campo, consulte la
página del manual de dhclient

preajustes Tiene varias opciones para valores de tiempo de protocolo preestablecido. Estos son útiles como una partida

punto de ajustes personalizados o para su uso cuando los valores se necesita restablecer los valores por defecto.

Con fi guración de anulación Permite un campo de usar una costumbre dhclient con fi guración fi l. La ruta completa
se debe dar. El uso de un encargo fi l rara vez es necesaria, pero algunos ISP requieren campos DHCP u opciones que no son compatibles con la interfaz

gráfica de usuario pfSense.

Tipos de PPP

Los diferentes tipos de conexiones basadas en PPP como PPP, PPPoE, PPTP y L2TP están todos cubiertos en detalle anteriormente en este capítulo ( PPP ). Cuando uno de
estos tipos se selecciona aquí en la pantalla de las interfaces, sus opciones básicas se pueden cambiar como se describe. Para acceder a las opciones avanzadas, siga el
enlace de esta página o navegar hasta Interfaces> (asignar) sobre el
PPP pestaña, encuentre la entrada, y editarlo allí.

8.12. Tipos de WAN IPv4 127

El libro pfSense, Liberación

Tipos IPv6 WAN

Al igual que en IPv4, la Con IPv6 Tipo fi guración controla si y cómo una dirección IPv6 se asigna a una interfaz. Hay varias maneras diferentes de
con fi gura IPv6 y el método exacto depende de la red a la que está conectado el cortafuego y la forma en que el ISP ha desplegado IPv6.

Ver también:

Para obtener más información sobre IPv6, incluyendo una introducción básica, consulte IPv6 .

Ninguna

Cuando Con IPv6 Tipo fi guración se establece en Ninguna, IPv6 está deshabilitado en la interfaz. Esto es útil si la interfaz no tiene conectividad IPv6 o si la dirección
IP en la interfaz está siendo manejado de alguna otra forma, como por ejemplo para una interfaz de OpenVPN o GIF.

IPv6 estática

Los controles IPv6 estáticas funcionan de forma idéntica a la configuración estática IPv4. Ver IPv4 estática para detalles. Con IPv6 estática, la interfaz contiene una dirección

IPv6 manualmente con fi gurado. Cuando elegido, tres campos adicionales están disponibles en la pantalla de interfaz con fi guración: Dirección IPv6, un pre fi selector x

longitud, y el Aguas arriba de puerta de enlace IPv6 campo.

Las puertas de enlace IPv4 e IPv6 por defecto funcionan independientemente uno del otro. Los dos no tiene por qué ser en el mismo circuito. Cambio de la puerta de enlace predeterminada

IPv4 tiene ningún efecto sobre la puerta de entrada de IPv6, y viceversa.

DHCP6

DHCP6 con cifras pfSense para intentar automática IPv6 con fi guración de esta interfaz a través de DHCPv6. DHCPv6 se con fi gura la interfaz con una dirección IP, pre
longitud fi x, servidores DNS, etc., pero no una puerta de enlace. La puerta de enlace se obtiene a través de avisos de encaminador, por lo que esta interfaz se puede
configurar para aceptar avisos de encaminador. Esta es una opción de diseño como parte del IPv6 especí fi cación, no una limitación de pfSense. Para obtener más
información sobre los anuncios de enrutador, consulte anuncios de enrutador .

Varios campos adicionales están disponibles para IPv6 DHCP que no existen para IPv4 DHCP:

Utilizar IPv4 como Conectividad Interfaz de Padres Cuando se establece, la solicitud DHCP IPv6 se envía utilizando IPv4 en esta

interfaz, en lugar de utilizar IPv6 nativo. Esto sólo es necesario en casos especiales cuando el ISP requiere este tipo de con fi
guración.

Solicitud sólo IPv6 Prefijo x Cuando se establece, el cliente DHCPv6 no solicita una dirección para la interfaz
en sí, sólo se solicita una pre fi x delegado.

DHCPv6 Pre fi x Tamaño Delegación Si el ISP suministra una red IPv6 encaminado a través de pre fi x delegación, que
publicará el tamaño delegación, que se puede seleccionar aquí. Por lo general es un valor en algún lugar BE- Tween 48 y 64. Para obtener
más información sobre howDHCPv6 trabaja pre fi x delegación, consulte DHCP6 Pre fi x Delegación . Para utilizar esta delegación, otra
interfaz interna debe ajustarse a una Con IPv6 Tipo fi guración de Track Interface ( Track Interface ) de modo que pueda utilizar las direcciones
delegadas por el servidor DHCPv6 aguas arriba.

Enviar IPv6 Prefijo x Indirecta Cuando se establece, la DHCPv6 Pre fi x Tamaño Delegación se envía junto con la solicitud de

informar al servidor de aguas arriba qué tan grande de una delegación se desea por esta fi cortafuegos. Si un proveedor de Internet permite la elección, y el

tamaño elegido está dentro de su rango permitido, el tamaño solicitado se le dará en lugar del tamaño predeterminado.

128 Capítulo 8. Tipos de interfaz y con fi guración

 El libro pfSense, Liberación

Depurar Cuando se establece, el cliente DHCPv6 se inicia en modo de depuración.

Con fi guración avanzada Permite una amplia gama de parámetros de ajuste avanzadas para el cliente DHCPv6.
Estas opciones se usan muy poco, y cuando se le pide, los valores son dictadas por el ISP o administrador de red. ver el página
del manual dhcp6c.conf para detalles.

Con fi guración de anulación Permite un campo de usar una costumbre con fi guración fi l. La ruta completa debe ser dada.
El uso de un encargo fi l rara vez es necesaria, pero algunos ISP requieren campos DHCP u opciones que no son compatibles con la interfaz gráfica de usuario

pfSense.

SLAAC

Dirección estado AutoCon fi guración ( SLAAC) como el tipo IPv6 hace pfSense intento de con fi gura la dirección IPv6 para la interfaz de anuncios de enrutador (RA) que
anuncian la información relacionada pre fi x y. Tenga en cuenta que el DNS no se proporciona normalmente a través de la AR, por lo pfSense todavía intentará obtener los
servidores DNS a través de DHCPv6 cuando se utiliza SLAAC. En el futuro, las extensiones RDNSS al proceso de RA pueden permitir que los servidores DNS que se
obtienen a partir de RA. Para obtener más información sobre los anuncios de enrutador, consulte anuncios de enrutador .

6RD túnel

6RD es una tecnología de tunelización IPv6 empleado por algunos proveedores de Internet para permitir rápidamente soporte IPv6 para sus redes, pasando los paquetes
IPv4 IPv6 tráfico c dentro especialmente diseñados entre y el router del usuario final y el relé de ISP. Se relaciona con 6a4, pero está destinado a ser utilizado dentro de la
red del ISP, utilizando las direcciones IPv6 desde el ISP para el tráfico de clientes fi co. Para utilizar 6RD, el ISP debe proporcionar tres piezas de información: El 6RD pre fi
x, el relé Border 6RD, y la fi x longitud 6RD IPv4 Pre.

6RD Pre fi x La fi pre 6RD IPv6 x asignado por el ISP, como 2001: db8 :: / 32.

Relevo de la frontera 6RD La dirección IPv4 del relé ISP 6RD.

6RD IPv4 Pre fi x Altura Controla la cantidad de la dirección IPv4 usuario final está codificada dentro de la 6RD
pre fi x. Este se suministra normalmente por el ISP. Un valor de 0 significa toda la dirección IPv4 se incrusta dentro de la 6RD pre fi x. Este
valor permite a los ISP ruta direcciones IPv6 con eficacia más a los clientes mediante la eliminación de información redundante si IPv4 una
asignación ISP es totalmente dentro de la misma subred más grande.

6a4 túnel

Al igual que en 6RD, 6a4 es otro método de tunelización IPv6 tráfico dentro de IPv4 c. A diferencia de 6RD, sin embargo, 6a4 utiliza constantes prefijos y relés. Como tal no
hay configuraciones ajustables por el usuario para el uso de la 6a4 opción. El pre fi 6a4 x es siempre
2002 :: / 16. Cualquier dirección dentro de la 2002 :: / 16 pre fi x se considera una dirección 6to4 en lugar de una dirección IPv6 nativo. También a diferencia

de 6RD, un túnel 6to4 se puede interrumpir en cualquier lugar en Internet, no sólo en el usuario final ISP, por lo que la calidad de la conexión entre el usuario

y el relé 6a4 puede variar ampliamente. túneles 6to4 siempre terminan en la dirección IPv4 192.88.99.1. Esta dirección IPv4 se anycasted, lo que significa que

aunque la dirección IPv4 es el mismo en todas partes, puede ser encaminada hacia un nodo regional cerca del usuario. Otra deficiencia de de 6a4 es que se

basa en otros routers para retransmitir trá fi co entre la red 6to4 y el resto de la red IPv6. Hay una posibilidad de que algunos compañeros IPv6 pueden no

tener conectividad a la red 6a4, y por lo tanto estos serían inalcanzables por los clientes que se conectan a los relés 6a4, y esto también podría variar

dependiendo del nodo 6a4 a la que el usuario está realmente conectado.

8.13. Tipos IPv6 WAN 129

El libro pfSense, Liberación

Track Interface

los Track Interface elección trabaja en conjunto con otra interfaz de IPv6 usando DHCPv6 Pre fi x Delegación. Cuando se recibe una delegación de
la ISP, esta opción designa qué interfaz se le asignará las direcciones IPv6 delegadas por el ISP y en casos donde se obtiene una delegación más
grande, que se utiliza pre fi x dentro de la delegación.

la interfaz IPv6 Una lista de todas las interfaces del sistema actualmente establecido para este tipo de WAN IPv6 dinámicas que ofrecen

pre fi x delegación (DHCPv6, PPPoE, 6rd, etc.). Seleccione la interfaz de la lista que recibirá la información de subred
delegada por el ISP.

IPv6 Pre fi x ID Si el ISP ha delegado más de un pre fi jo a través de DHCPv6, los controles de identidad fi x IPv6 Pre
¿cuál de las delegadas / 64 subredes serán utilizados en esta interfaz. Este valor es especificados en adecimal hex-. Por ejemplo, si un / 60 delegación

es suministrada por el ISP que significa 16 / 64 las redes están disponibles, por lo que pre fi x identificadores de 0 mediante F puede ser usado. Para

obtener más información sobre cómo funciona pre fi x delegación, consulte DHCP6 Pre fi x Delegación .

pfSense compatible con numerosos tipos de interfaces de red, ya sea usando directamente o mediante el empleo de otros protocolos como PPP o VLANs interfaces
físicas.

asignación de las interfaces y la creación de nuevas interfaces virtuales se manejan bajo Interfaces> (asignar).

Interfaces físicas y virtuales

La mayoría de las interfaces discutidas en este capítulo se pueden asignar como WAN, LAN o una interfaz OPT bajo Interfaces> (asignar). Toda la actualidad de
fi nidas y detecta las interfaces se enumeran directamente en Interfaces> (asignar) o en la lista de interfaces disponibles para asignación. Por defecto, la lista
incluye sólo las interfaces físicas, pero las otras pestañas bajo
Interfaces> (asignar) puede crear interfaces virtuales que luego pueden ser asignados.

Interfaces en pfSense soportan varias combinaciones de opciones sobre las mismas interfaces. También pueden soportar múltiples redes y protocolos
en una única interfaz, o múltiples interfaces pueden ser unidas entre sí en una mayor capacidad o de la interfaz virtual redundante.

Todas las interfaces son tratados por igual; Cada interfaz puede ser con fi gurada para cualquier tipo de conectividad o de papel. Las interfaces WAN y LAN por defecto pueden

ser renombrados y utilizados en otras formas.

interfaces físicas y las interfaces virtuales son tratados de la misma una vez asignado, y tienen las mismas capacidades. Por ejemplo, una interfaz de VLAN

puede tener el mismo tipo de con fi guración que una interfaz física puede tener. Algunos tipos de interfaces reciben un tratamiento especial una vez asignado,

que se tratan en sus respectivas secciones de este capítulo. Esta sección cubre los diversos tipos de interfaces que se pueden crear, asignar y gestionar.

130 Capítulo 8. Tipos de interfaz y con fi guración

 CAPÍTULO

NUEVE

GESTIÓN y autenticación de usuarios

Gestión de usuarios

El Administrador de usuarios se encuentra en Sistema> Administrador de usuarios. A partir de ahí, los grupos de usuarios, los servidores pueden ser gestionados y valores que rigen el

comportamiento del Administrador de usuarios pueden ser cambiados.

privilegios

Administración de privilegios para usuarios y grupos se realiza de manera similar, por lo tanto serán cubiertos aquí en lugar de duplicar el esfuerzo. Si se gestiona un
usuario o grupo, la entrada debe ser creado y guardado primera antes se pueden añadir privilegios

a la cuenta o grupo. Para agregar privilegios, cuando se edita el usuario o grupo existente, haga clic Añadir en el asignado
privilegios o Los privilegios eficaces sección.

Se presenta una lista de todos los privilegios disponibles. Los privilegios pueden ser añadidos uno a la vez mediante la selección de una sola entrada, o de selección múltiple

utilizando ctrl-clic. Si otros privilegios ya están presentes en el usuario o grupo, que se ocultan de esta lista por lo que no se pueden añadir dos veces. Para buscar un privilegio

específico por su nombre, introduzca el término de búsqueda en el Filtrar caja y

hacer clic Filtrar.

Selección de un privilegio mostrará una breve descripción de su propósito en el área del bloque de información en virtud de la lista de permisos y botones de acción. La mayor
parte de los privilegios son fáciles de entender en base a sus nombres, pero algunos permisos notables son:

WebCFG - Todas las páginas Permite al usuario acceder cualquier página de la interfaz gráfica de usuario

WebCFG - Tablero de instrumentos (todos) Permite al usuario acceder a la página de panel y todas sus funciones asociadas

(Widgets, gráficos, etc.)

WebCFG - Sistema Administrador de contraseñas de usuario Página: Si el usuario sólo tiene acceso a esta página, pueden iniciar sesión

a la interfaz gráfica de usuario para configurar su propia contraseña, pero no hacer nada más.

Usuario - VPN - IPSec xauth Dialin Permite al usuario conectarse y autenticarse para IPsec xauth

Usuario - Con fi g - Denegar Con fi g Comentario No permite al usuario realizar cambios en el cortafuegos con fi fi g ( estafa-
g.xml fi). Tenga en cuenta que esto no impide que el usuario pueda tomar otras acciones que no implican por escrito a la con fi g.

Usuario - sistema - acceso a la cuenta de Shell Da al usuario la posibilidad de acceder a través de ssh, aunque el usuario se
no tiene acceso a nivel de raíz por lo que la funcionalidad es limitada. Un paquete para sudo está disponible para mejorar esta función.

Después de entrar, el cortafuego intentará mostrar el tablero de instrumentos. Si el usuario no tiene acceso al panel de control, serán remitidos a la
primera página en su lista de privilegio que tienen permiso de acceso.

131
El libro pfSense, Liberación

Menús en el cortafuego sólo contienen entradas para las que existen privilegios en una cuenta de usuario. Por ejemplo, si la única página nostics diagnosticar las que un
usuario tiene acceso a es Diagnóstico> Ping entonces no hay otros elementos se muestran en el Diagnóstico
menú.

Añadir / editar usuarios

los usuarios lengüeta debajo Sistema> Administrador de usuarios es donde los usuarios individuales se gestionan. Para añadir un nuevo usuario, haga clic

Añadir, para editar un usuario existente, haga clic .

Antes de permisos se pueden añadir a un usuario, primero debe ser creado, por lo que el primer paso es siempre para agregar el usuario y guardar. Si varios usuarios necesitan

los mismos permisos, es más fácil para añadir un grupo y luego añadir usuarios al grupo.

Para agregar un usuario, haga clic Añadir y aparecerá la nueva pantalla del usuario.

Discapacitado Esta casilla de verificación controla si este usuario estará activo. Si esta cuenta debe ser desactivado,
marque esta casilla.

Nombre de usuario Establece el nombre de inicio de sesión para el usuario. Se requiere este campo, debe ser de 16 caracteres o menos y pueden

Sólo puede contener letras, números y un punto, guión o guión bajo.

Contraseña y La confirmación También son obligatorios. Las contraseñas se almacenan en la configuración pfSense como con fi

hashes. Asegúrese de que el partido de dos campos para confirmar la contraseña.

Nombre completo campo opcional que puede ser utilizado para introducir un nombre más largo o una descripción para una cuenta de usuario.

Fecha de caducidad También puede definirse si se desea para desactivar el usuario de forma automática cuando la fecha tiene

ha alcanzado. La fecha debe introducirse en MM / DD / YYYY formato.

Miembro de los Grupos Si los grupos ya han sido de fi nido, este control se puede utilizar para agregar el usuario como una

miembro. Para añadir un grupo para este usuario, encontramos que en el No miembro de columna, selecciónela y haga clic para moverlo a la Miembro

de columna. Para eliminar un usuario del grupo, selecciónelo de la Miembro de columna y haga clic

para moverlo a la No miembro de columna.

Los privilegios eficaces Aparece cuando se edita un usuario existente, no cuando se añade un usuario. Ver privilegios para
información sobre la gestión de privilegios. Si el usuario es parte de un grupo, los permisos del grupo se muestran en esta lista pero esos
permisos no se pueden editar, pueden añadirse permisos sin embargo adicionales.

Certi fi cado Comportamiento de esta sección cambia dependiendo de si se añade o edita un usuario. Cuando
la adición de un usuario, para crear un cheque certi fi cado Haga clic para crear un certi fi cado de usuario para mostrar el formulario para crear un certificado.

Rellene el Nombre descriptivo, escoge un Autoridad certi fi cado, seleccione un Código de longitud, e introducir una Toda la vida. Para obtener más información

sobre estos parámetros, consulte Crear un certi fi cado interno . Si la edición de un usuario, esta sección de la página en lugar se convierte en una lista de certi fi

cados de usuario. De

aquí, haga clic Añadir para agregar un certificado al usuario. La configuración de página que son idénticos a Crear
un certi fi cado interno excepto aún más de los datos es pre- fi llena con el nombre de usuario. Si el certi fi cado ya existe, seleccione Elija
un Certi fi cado existente y luego recoger una Existente certi fi cado de la lista.

llaves autorizadas claves públicas SSH se pueden introducir para la cáscara u otro acceso SSH. Para agregar una clave, pasta o

introducir en los datos clave.

IPsec Pre-Shared Key Se utiliza para una configuración de IPsec no xauth Pre-Shared Key móvil. Si una IPsec Pre-
Llave compartida Aquí se introduce el nombre de usuario se utiliza como el er fi cación. El PSK también se muestra bajo VPN> IPsec sobre el Pre
Shared Keys lengüeta. Si sólo se utilizará móvil IPsec con xauth, este campo puede dejarse en blanco.

132 Capítulo 9. Gestión de usuarios y autenticación

 El libro pfSense, Liberación

Después de guardar el usuario, haga clic en la fila del usuario para editar la entrada si es necesario.

Instalación de grupos / Edición

Los grupos son una gran manera de manejar conjuntos de permisos para dar a los usuarios para que no necesitan ser mantenidos individualmente en cada cuenta de usuario.
Por ejemplo, un grupo podría ser utilizado para los usuarios IPsec xauth, o un grupo que puede acceder el salpicadero del cortafuego, un grupo de administradores fi
cortafuego, o muchos otros escenarios posibles utilizando cualquier combinación de privilegios.

Al igual que con los usuarios, un grupo primero debe crearse antes se pueden añadir privilegios. Después de guardar el grupo, editar el grupo para agregar privilegios.

Los grupos se manejan bajo Sistema> Administrador de usuarios sobre el grupos lengüeta. Para añadir un nuevo grupo desde esta pantalla, haga clic

Añadir. Para editar un grupo existente, haga clic junto a su entrada en la lista.

.. note :: Cuando se trabaja con LDAP y RADIUS, deben existir grupos locales para que coincida con el grupos de los usuarios son
miembros en el servidor. Por ejemplo, si existe un grupo LDAP llamado “rewall_admins Fi” entonces pfSense también debe contener un grupo denominado de
forma idéntica, “rewall_admins Fi”, con los privilegios deseados. grupos remotos con nombres largos o nombres que contengan espacios u otros caracteres
especiales deben ser con fi gurada para una Remoto Alcance.

Iniciar el proceso de añadir un grupo haciendo clic Añadir y la pantalla para añadir aparecerá un nuevo grupo.

Nombre del grupo Esta configuración tiene las mismas restricciones que un nombre de usuario: Debe ser de 16 caracteres o menos y

Sólo puede contener letras, números y un punto, guión o guión bajo. Esto puede sentirse algo limitado cuando se trabaja con grupos
de LDAP, por ejemplo, pero por lo general es más fácil de crear o cambiar el nombre de un grupo con el nombre apropiado en el
servidor de autenticación en lugar de tratar de hacer que el partido del grupo cortafuego.

Alcance Se puede ajustar Local para grupos en la fi sí cortafuegos (tales como aquellos para uso en el shell), o Remoto
para relajar las restricciones de nombre de grupo y para evitar que el nombre del grupo de ser expuestos al sistema operativo base. Por ejemplo, Remoto
nombres de grupos alcance pueden ser más largos, y pueden contener espacios.

Descripción Opcional texto de formato libre para referencia y para identificar mejor el propósito del grupo en caso
el Nombre del grupo no es su fi ciente.

Miembro de los Grupos Este conjunto de controles de fi ca el que los usuarios existentes serán miembros del nuevo grupo.
los usuarios del servidor de seguridad se enumeran en el que no son miembros columnas de forma predeterminada. Para agregar un usuario a este grupo, nd fi

en el que no son miembros columna, seleccionarlo, y haga clic para moverlo a la miembros columna. A

eliminar un usuario del grupo, selecciónelo de la miembros columna y haga clic para moverlo a la
que no son miembros columna.

Los privilegios asignados Sólo aparece cuando se edita un grupo existente. Esta sección permite la adición de privilegios
al grupo. Ver privilegios anteriormente en este para obtener información sobre la gestión de privilegios.

ajustes

los ajustes ficha en el Administrador de usuarios controla dos cosas: ¿Por cuánto tiempo una sesión de inicio de sesión es válida, y donde los nombres de usuario GUI preferirá estar autenticado.

Hora de término de la sesión Este campo específico es el tiempo que una sesión de interfaz gráfica de usuario de inicio de sesión tendrá una duración cuando ocioso. Este valor es

especificados en minutos, y el valor predeterminado es de cuatro horas (240 minutos). Un valor de 0 Se pueden introducir desactivar la caducidad de sesión, por lo

que las sesiones de inicio de sesión válido para siempre. Un tiempo de espera más corto es mejor,

9.1. Gestión de usuarios 133

El libro pfSense, Liberación

a pesar de que sea tiempo suficiente para que un administrador activa no se cerrará la sesión involuntariamente al hacer cambios.

Advertencia: Permitiendo una sesión para permanecer válida cuando está inactivo durante largos períodos de tiempo es inseguro. Si un administrador deja
desatendida terminal con una ventana del navegador abierta y conectado, alguien o algo más podrían beneficiarse de la sesión abierta.

La autenticación del servidor Este selector elige la fuente de autenticación principal para los usuarios iniciar sesión en
la interfaz gráfica de usuario. Esto puede ser un servidor RADIUS o LDAP, o el valor por defecto Base de datos local. Si el servidor RADIUS o LDAP es

inalcanzable por alguna razón, la autenticación se caerá de nuevo a Base de datos local

incluso si se elige otro método.

Cuando se utiliza un servidor RADIUS o LDAP, los usuarios y / o pertenencia a grupos todavía deben definirse en el cortafuego con el fin de asignar adecuadamente
los permisos, ya que no hay todavía un método para obtener permisos dinámicamente a partir de un servidor de autenticación.

Participación en el grupo funcione correctamente, pfSense debe ser capaz de reconocer los grupos expuestos por el servidor authentica- ción. Esto requiere
dos cosas:

1. Los grupos locales deben existir con nombres idénticos.

2. pfSense debe ser capaz de localizar o recibir una lista de grupos del servidor de autenticación.

Ver Servidores de autenticación para más detalles especí fi co para cada tipo de servidor de autenticación.

Servidores de autenticación

Utilizando el Servidores de autenticación lengüeta debajo Sistema> Administrador de usuarios, RADIUS y servidores LDAP pueden definirse como fuentes de autenticación. Ver A lo

largo de apoyo pfSense para obtener información sobre dónde estos servidores pueden ser utilizados en

pfSense actualmente. Para añadir un nuevo servidor desde esta pantalla, haga clic Añadir. Para editar un servidor existente, haga clic cerca de

su entrada.

Ver también:

Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver el Hangout de agosto de 2015 sobre RADIUS y LDAP.

RADIO

Para añadir un nuevo servidor RADIUS:

• Asegúrese de que el servidor RADIUS tiene la fi cortafuegos define como un cliente antes de proceder.

• Navegar a Sistema> Administrador de usuarios, Servidores de autenticación lengüeta.

• Hacer clic Añadir.

• Selecciona el Tipo selector para RADIO. Los ajustes del servidor RADIUS se mostrará.

• Complete los campos tal como se describe a continuación:

Nombre descriptivo El nombre de este servidor RADIUS. Este nombre se utiliza para identificar el servidor
a lo largo de la interfaz gráfica de pfSense.

Nombre de host o dirección IP La dirección del servidor RADIUS. Esto puede ser un nombre de dominio totalmente calificado fi cado,

o una dirección IP IPv4.

134 Capítulo 9. Gestión de usuarios y autenticación

 El libro pfSense, Liberación

Secreto compartido La contraseña establecida para este fi cortafuegos en el servidor RADIUS software.

Servicios ofrecidos Este conjunto selector que los servicios son ofrecidos por este servidor RADIUS. Autenticación y
Contabilidad , Autenticación solamente, o Contabilidad solamente. Autenticación utilizará este servidor RADIUS para autenticar a los usuarios. Contabilidad enviará

inicio RADIUS / parada de contabilidad de paquetes de datos para las sesiones de inicio de sesión si es compatible en la zona donde se utiliza.

puerto de autenticación Sólo aparece si se elige un modo de autenticación. Establece el puerto UDP donde RA-
tendrá lugar la autenticación DIUS. El puerto por defecto es la autenticación RADIUS 1812.

puerto de cuenta Sólo aparece si se elige un modo de contabilidad. Establece el puerto UDP donde RADIUS
se producirá la contabilidad. El puerto predeterminado de RADIUS es lo que representa 1813.

Tiempo de espera de la autenticación Controla el tiempo, en segundos, que el servidor RADIUS puede tomar para responder

a una solicitud de autenticación. Si se deja en blanco, el valor predeterminado es de 5 segundos. Si un sistema de autenticación de dos factores interactiva

está en uso, aumentar este tiempo de espera para tener en cuenta el tiempo que llevará al usuario a recibir e ingresar una ficha, que puede ser de 60-120

segundos o más si se tiene que esperar a que una acción externa, como una llamada telefónica, mensaje SMS, etc.

• Hacer clic Salvar para crear el servidor.

• Visitar Diagnóstico> Autenticación para probar el servidor RADIUS utilizando una cuenta válida. Para los grupos de RADIUS, el servidor RADIUS debe devolver

una lista de grupos de la Clase RADIUS responde atributo como una cadena. Varios grupos deben estar separados por un punto y coma.

Por ejemplo, en FreeRADIUS, para devolver los “administradores” y “VPNUsers” grupos, la siguiente respuesta-artículo RADIUS Atributo sería utilizado:

Clase: = "administradores; VPNUsers"

Si el servidor RADIUS devuelve la lista de grupos adecuada para un usuario, y existen los grupos a nivel local, a continuación, los grupos serán listados en los resultados

cuando se utiliza el Diagnóstico> Autenticación Página para poner a prueba una cuenta. Si los grupos no se muestran, asegurar que existen en pfSense con nombres que

coinciden y que el servidor está devolviendo el atributo de clase como una cadena, no binario.

LDAP

Para añadir un nuevo servidor LDAP:

• Asegúrese de que el servidor LDAP puede ser alcanzado por el cortafuego.

• Si se usa SSL, importar la Autoridad Certi fi cado que utiliza el servidor LDAP en pfSense antes de proceder. Ver Certi fi cado de Gestión de la autoridad para
más información sobre cómo crear o importar las entidades emisoras.

• Navegar a Sistema> Administrador de usuarios, servidores lengüeta.

• Hacer clic Añadir.

• Selecciona el Tipo selector para LDAP. Se mostrarán los ajustes del servidor LDAP.

• Complete los campos tal como se describe a continuación:

Nombre de host o dirección IP La dirección del servidor LDAP. Esto puede ser un nombre de dominio totalmente calificado fi cado,

una dirección IP IPv4, IPv6 o una dirección IP.

Nota: Si se usa SSL, un nombre de host debe ser especi fi cado aquí y el nombre de host debe coincidir con el Nombre común
de la certi fi cado del servidor presentado por el servidor LDAP y el nombre de host que debe resolverse en la dirección IP del servidor LDAP, por ejemplo, CN =
ldap.example.com, y ldap.example.com es 192.168.1.5. La única excepción a esto es si la dirección IP del servidor también pasa a ser el CN ​del servidor de su certi
fi cado.

9.2. Servidores de autenticación 135

El libro pfSense, Liberación

Esto se puede evitar en algunos casos mediante la creación de una anulación de host DNS Forwarder para hacer que el certi fi cado del servidor CN resuelve a la
dirección IP correcta si no coinciden en esta infraestructura de red y no pueden ser fácilmente fijo.

valor de puerto Este establecimiento de especificidad ca el puerto en el que el servidor LDAP está escuchando las consultas LDAP. los

el puerto TCP por defecto es 389, y 636 para SSL. Este campo se actualiza automáticamente con el valor predeterminado apropiado basado en el

seleccionado Transporte.

Nota: Cuando se utiliza el puerto 636 para SSL, utiliza un pfSense ldaps: // URL, que no soporta STARTTLS. Asegúrese de que el servidor LDAP está escuchando en el
puerto correcto con el modo correcto.

Transporte Este controles de ajuste que método de transporte serán utilizados para comunicarse con el LDAP
servidor. El primero, y por defecto, la selección se TCP - Estándar que utiliza conexiones TCP en el puerto de civil
389. Una opción más segura, si el servidor LDAP soporta, es SSL - encriptado en el puerto 636. La elección SSL codificará las consultas
LDAP realizados en el servidor, lo cual es especialmente importante si el servidor LDAP no está en un segmento de red local.

Nota: Se recomienda siempre usar SSL cuando sea posible, aunque TCP llano es más fácil de configurar y diagnosticar ya que una captura de paquetes mostraría el
contenido de las preguntas y las respuestas.

Peer Autoridad Certi fi cado Si SSL - encriptado fue elegido para el Transporte, a continuación, el valor de este SE-
lector se utiliza para validar el certi fi cado del servidor LDAP. El CA seleccionada debe coincidir con el fi CA con gurado en el servidor LDAP, de
lo contrario surgirán problemas. Ver Certi fi cado de Autoridad Manage- ment para más información sobre cómo crear o importar las entidades
emisoras.

versión del protocolo Elige que se emplea versión del protocolo LDAP por el servidor LDAP, ya sean
2 o 3, típicamente 3.

ámbito de búsqueda Determina dónde y qué tan profundo, una búsqueda irá por un partido.

Nivel Escoger entre Un nivel o subárbol entero para controlar la profundidad de la búsqueda irá. subárbol entero
es la mejor opción cuando la decisión no es cierto, y casi siempre se requiere para Active Directory con fi guraciones.

Base DN Controla donde la búsqueda se iniciará. Típicamente se establece en la “raíz” de la estructura de LDAP, por ejemplo,

DC = ejemplo, DC = com

contenedores de autenticación Una lista separada por comas de los lugares de la cuenta potenciales o contenedores.
Estos contenedores se le antepondrá a la búsqueda de DN base por encima o especificar una ruta de contenedor completo aquí y deje en
blanco el DN base. Si el servidor LDAP soporta, y los ajustes se unen son correctos, haga clic en el Seleccionar botón para examinar los
contenedores servidor LDAP y seleccionar allí. Algunos ejemplos de estos contenedores son:

• CN = Users; DC = ejemplo; DC = com Esto sería buscar usuarios en el interior del componente de dominio example.com, una sintaxis común para
ver para Active Directory

• CN = Users, DC = ejemplo, DC = com; OU = OtherUsers, DC = ejemplo, DC = com Esto sería buscar en dos lugares diferentes, la segunda
de las cuales se restringe a la OtherUsers unidad organizacional.

consulta extendida Especí fi ca una restricción adicional a la consulta después de que el nombre de usuario, lo que permite Miembro-grupo

barco para ser utilizado como un filtro. Para establecer una consulta de extendido, comprobar la caja y fi ll en el valor con un filtro, tales como:

miembro de = CN = VPNUsers, CN = Usuarios DC = ejemplo, DC = com

credenciales de enlace Controla cómo este cliente LDAP intentará enlazar con el servidor. Por defecto, el Utilizar
Anonymous se une a resolver los nombres distinguidos casilla está marcada para realizar un enlace anónimo. Si el servidor requiere
autenticación para unirse y realizar una consulta, desactive esa casilla y especifique una DN de usuario y Contraseña para ser utilizado para el
enlace.

136 Capítulo 9. Gestión de usuarios y autenticación

 El libro pfSense, Liberación

Nota: Active Directory normalmente requiere el uso de credenciales de enlace y puede necesitar una cuenta de servicio o administrador- equivalente dependiendo de la
con fi guración del servidor. Consulte la documentación de Windows para determinar que es necesario en un entorno específico.

Plantilla inicial Pre fi LLS las opciones restantes de la página con los valores predeterminados comunes para un tipo determinado de

servidor LDAP. Las opciones incluyen OpenLDAP, Microsoft AD, y Novell eDirectory.

atributo de nombre de usuario El atributo utilizado para identificar el nombre de un usuario, más comúnmente cn o samAccount-

Nombre.

atributo de nombre de grupo El atributo utilizado para identificar un grupo, tal como cn.

atributo de miembro de grupo El atributo de un usuario que signi fi ca que es el miembro de un grupo, tal como
miembro, memberUid, memberOf, o uniqueMember.

Grupos rfc2307 Especí fi ca de cómo se organiza la pertenencia a grupos en el servidor LDAP. Cuando no se controla,
Se utiliza la pertenencia al grupo de estilo de Active Directory donde los grupos se muestran como un atributo del objeto de usuario. Cuando se

selecciona, se utiliza el RFC 2307 pertenencia a un grupo estilo, donde los usuarios se muestran como miembros en el objeto de grupo.

Nota: Cuando se utiliza, el atributo de miembro de grupo puede también necesitar cambiado, por lo general sería ajustado a
memberUid en este caso, pero puede variar según el esquema LDAP.

Clase de objeto grupo Se utiliza con grupos de estilo RFC 2307, se especi fi ca la clase de objeto del grupo, normalmente, un

camente posixGroup pero puede variar según el esquema LDAP. No es necesario para grupos de estilo de Active Directory.

Codificar UTF8 Cuando se activa, las consultas al servidor LDAP serán UTF8 codificada y las respuestas se
ser UTF8-decodificada. Apoyo varía en función del servidor LDAP. En general, sólo es necesario si los nombres de usuario, grupos,
contraseñas y otros atributos contienen caracteres no tradicionales.

Nombre de usuario Alteraciones Cuando no está marcada, un nombre de usuario da como usuario @ nombre de host tendrá la @hostname

porción pelada de modo que sólo el nombre de usuario se envía en la solicitud de enlace LDAP. Cuando se activa, el nombre de usuario se envía en su totalidad.

• Hacer clic Salvar para crear el servidor.

• Visitar Diagnóstico> Autenticación para probar el servidor LDAP utilizando una cuenta válida.

Si la consulta LDAP devuelve la lista de grupos adecuada para un usuario, y existen los grupos a nivel local, a continuación, los grupos serán listados en los resultados cuando se

utiliza el Diagnóstico> Autenticación Página para poner a prueba una cuenta. Si los grupos no se muestran, asegurarse de que existen en pfSense con nombres que coinciden y que

se selecciona la estructura de grupo adecuado (por ejemplo RFC 2703 grupos pueden necesitar ser seleccionado.)

Ejemplos de autenticación externos

Hay innumerables maneras para con fi gurar el gestor de usuarios para conectarse a un servidor RADIUS o LDAP externo, pero hay algunos métodos comunes que pueden
ser útiles para su uso como una guía. Los siguientes son todos probados / ejemplos de trabajo, pero la configuración del servidor probablemente variará del ejemplo.

Ejemplo servidor RADIUS

Este ejemplo se preparó contra FreeRADIUS pero hacer lo mismo para Windows Server sería idéntica. Ver Autenticación RADIUS con Windows Server para obtener
información sobre la configuración de un servidor de Windows para RADIUS.

9.3. Ejemplos de autenticación externos 137

El libro pfSense, Liberación

Esto supone que el servidor RADIUS ya ha sido con fi gurado para aceptar consultas de este fi cortafuegos como un cliente con un secreto compartido.

Nombre descriptivo ExCoRADIUS

Tipo Radio

Nombre de host o dirección IP 192.2.0.5

Secreto compartido secretsecret

Servicios ofrecidos Autenticación y Contabilidad

Puerto de autenticación 1812

Puerto de contabilidad 1813

Tiempo de espera de la autenticación 10

Ejemplo OpenLDAP

En este ejemplo, pfSense está configurado para conectarse de nuevo a un servidor OpenLDAP para la empresa.

Nombre descriptivo ExCoLDAP

Tipo LDAP

Nombre de host o dirección IP ldap.example.com

Puerto 636

Transporte SSL - encriptado

Peer Autoridad Certi fi cado CoEj CA

Protocol Version 3

Ámbito de búsqueda Subárbol entero, dc = pfsense, dc = org

Contenedores de autenticación CN = pfsgroup; ou = personas, dc = pfsense, dc = org

credenciales de enlace enlaces anónimos Comprobado

Plantilla inicial OpenLDAP

Atributo de nombres de usuario cn

Grupo de nombres de atributo cn

Grupo de atributos miembro memberUid

Grupos rfc2307 Comprobado

Clase de objeto grupo posixGroup

Codificar UTF8 Comprobado

Nombre de usuario Alteraciones Desenfrenado

Ejemplo de Active Directory LDAP

En este ejemplo, pfSense está configurado para conectarse a una estructura de Active Directory con el fin de autenticar a los usuarios de una VPN. Los resultados se limitan
a la VPNUsers grupo. omitir el consulta extendida a aceptar cualquier usuario.

Nombre descriptivo ExCoADVPN

138 Capítulo 9. Gestión de usuarios y autenticación

 El libro pfSense, Liberación

Tipo LDAP

Nombre de host o dirección IP 192.0.2.230

Puerto 389

Transporte TCP - Estándar

Protocol Version 3

Ámbito de búsqueda Subárbol entero, DC = dominio, DC = local

Contenedores de autenticación CN = Users, DC = dominio, DC = local

consulta extendida memberOf = CN = VPNUsers, CN = Users, DC = ejemplo, DC = com

credenciales de enlace enlaces anónimos Desenfrenado

DN de usuario CN = binduser, CN = Users, DC = dominio, DC = locales

Contraseña secretsecret

Plantilla inicial microsoft AD

Atributo de nombres de usuario samAccountName

Grupo de nombres de atributo cn

Grupo de atributos miembro miembro de

En este ejemplo se utiliza TCP normal, pero si el Certi fi cado de Autoridad para la estructura de AD ha sido importada bajo el Administrador de Certi fi cado de pfSense,
SSL puede ser utilizado también seleccionando esa opción y la elección de la CA apropiado de la Peer Autoridad Certi fi cado desplegable y ajuste de la nombre de host con
el nombre común del certificado de servidor fi cado.

Solución de problemas

Prueba de servidores de autenticación es posible utilizando la herramienta situada en Diagnóstico> Autenticación. Desde esa página, poniendo a prueba un usuario es simple:

• Navegar a Diagnóstico> Autenticación

• Seleccione una La autenticación del servidor

• Entrar a Nombre de usuario

• Entrar a Contraseña

• Haga clic en el Prueba botón.

El cortafuego intentará autenticar al usuario dado contra el servidor fi cado y devolverá el resultado. Por lo general, la mejor manera de probar al menos
una vez antes de intentar utilizar el servidor.

Si el servidor devuelve un conjunto de grupos para el usuario, y existen los grupos a nivel local con el mismo nombre, los grupos se imprimen en los resultados de la prueba.

Si se recibe un error al probar la autenticación, el doble comprobar las credenciales y la configuración del servidor, a continuación, hacer los ajustes necesarios y vuelva a
intentarlo.

Los errores LDAP de Active Directory

El error más común con acceso LDAP para Active Directory no está especificando un usuario de enlace adecuado en el formato correcto. Si el nombre de usuario
por sí sola no funciona, introduzca el nombre completo (DN) para el usuario de enlace, tales como
CN = binduser, CN = Users, DC = dominio, DC = local.

9.4. Solución de problemas 139

El libro pfSense, Liberación

Si el DN completo del usuario es desconocido, se puede encontrar mediante la navegación al usuario en Edición de ADSI encontrado en Herramientas administrativas en el servidor

Windows.

Otro error común con la pertenencia al grupo no está especificando subárbol entero para el Buscar nivel de ámbito.

Miembro Activo Directorio de Grupo

Dependiendo de cómo se hicieron los grupos de Active Directory, la forma en que se especi fi cado puede ser diferente para cosas como la autenticación de envases y / o
consultas extendido. Por ejemplo, un grupo de usuarios tradicional en AD se expone de manera diferente a LDAP que una unidad organizativa independiente. Edición de
ADSI se encuentra en Herramientas administrativas en el servidor de Windows se puede utilizar para determinar cuál es el DN para un grupo dado será.

consulta extendida

El error más común con consulta extendida es que la directiva dada no incluye tanto el elemento que se debe buscar, así como la forma, como por
ejemplo:

miembro de = CN = VPNUsers, CN = Usuarios DC = ejemplo, DC = com

Tenga en cuenta que en el ejemplo anterior el DN del grupo se administra junto con la restricción ( memberOf =)

Solución de problemas a través de los registros del servidor

Los errores de autenticación normalmente se registran por el servidor de destino (FreeRADIUS, Windows el Visor de sucesos, etc.), asumiendo que la solicitud es lo que hace todo el camino

hasta el host de autenticación. Compruebe los registros del servidor para una explicación detallada por las que una solicitud ha fallado. El registro del sistema en pfSense ( Estado> Registros

del sistema) También puede contener algún detalle que hace alusión a una resolución.

Solución de problemas a través de capturas de paquetes

capturas de paquetes puede ser muy valiosa para el diagnóstico de errores también. Si un método no cifrado (RADIUS, LDAP sin SSL) está en uso, la contraseña real que se

utiliza puede no ser visible pero suficiente del protocolo de intercambio se puede observar para determinar por qué una solicitud está fallando en completarse. Esto es

especialmente cierto cuando una captura se carga en Wireshark, que pueda interpretar las respuestas para que, como se ve en la figura LDAP muestra de fallo de captura . Para

obtener más información sobre las capturas de paquetes, consulte La captura de paquetes .

Fig 9.1:. LDAP Muestra fallo de captura

El Administrador de usuarios en pfSense proporciona la capacidad de crear y gestionar múltiples cuentas de usuario. Estas cuentas se pueden utilizar para acceder a la interfaz gráfica de

usuario, utilice los servicios de VPN como OpenVPN e IPsec, y el uso del portal cautivo. El Administrador de usuarios también se puede utilizar para definir las fuentes de autenticación

externos tales como RADIUS y LDAP.

Ver también:

Los clientes con una pfSense Suscripción Oro puede acceder al Hangouts Archivo para ver FEBRERO Hangout el año 2015 en la gestión de usuarios y
privilegios, y la conversación de agosto de 2015 sobre RADIUS y LDAP.

140 Capítulo 9. Gestión de usuarios y autenticación

 El libro pfSense, Liberación

A lo largo de apoyo pfSense

Al escribir estas líneas, no todas las áreas de pfSense enganchan de nuevo en el Administrador de usuarios.

GUI pfSense Es compatible con los usuarios en el Administrador de usuarios, ya través de RADIUS o LDAP. Grupos o usuarios de

RADIUS o LDAP requieren de fi niciones en el Administrador de usuarios local para gestionar sus permisos de acceso.

OpenVPN Es compatible con los usuarios en el Administrador de usuarios, RADIUS o LDAP a través de Administrador de usuarios.

IPsec Es compatible con los usuarios en el Administrador de usuarios, RADIUS o LDAP a través de Administrador de usuarios para Xauth, y RADIUS

para IKEv2 con EAP-RADIUS.

portal cautivo Apoyar a los usuarios locales en el Administrador de usuarios, y los usuarios de RADIUS a través de ajustes en el Cautivo

página del portal.

L2TP Es compatible con los usuarios en la configuración de L2TP, ya través de RADIUS en la configuración de L2TP.

PPPoE del servidor Es compatible con los usuarios en la configuración de PPPoE, y por medio de RADIUS en la configuración PPPoE.

9.5. A lo largo de apoyo pfSense 141

El libro pfSense, Liberación

142 Capítulo 9. Gestión de usuarios y autenticación

 CAPÍTULO

DIEZ

CERTIFICADO DE GESTIÓN

Certi fi cado de Gestión de la autoridad

Autoridades certi fi cado (CA) se gestionan desde Sistema> Cert Manager, sobre el CA lengüeta. Desde esta pantalla CA puede añadir, editar, exportados o
eliminado.

Crear una nueva Autoridad Certi fi cado

Para crear una nueva CA, iniciar el proceso de la siguiente manera:

• Navegar a Sistema> Administrador de Cert sobre el CA lengüeta.

• Hacer clic Añadir para crear un nuevo una CA.

• Entrar a Nombre descriptivo para la CA. Esto se utiliza como una etiqueta para esta entidad emisora ​en toda la interfaz gráfica de usuario.

• Selecciona el Método que mejor se adapte a la forma en que se genere el CA. Estas opciones y más instrucciones están en las secciones correspondientes a
continuación:

- Crear una autoridad de certi fi cado interno

- Importar una Autoridad Certi fi cado existente

- Crear una Autoridad de Certificación Intermedio fi cado

Crear una autoridad de certi fi cado interno

Los más comunes Método utilizado de aquí es Crear una autoridad de certi fi cado interno. Esto hará que una nueva entidad de certificación raíz basándose en la información

introducida en esta página.

• Selecciona el longitud de la clave para elegir la forma “fuerte” de la CA es en términos de cifrado. Cuanto más larga sea la clave, más segura es. Sin embargo, las claves más

largas pueden tomar más tiempo de CPU para procesar, lo que no siempre es aconsejable utilizar el valor máximo. El valor por defecto de 2048 Es un buen equilibrio.

• Seleccione un digest Algorithm de la lista suministrada. La mejor práctica actual es utilizar un algoritmo SHA1 más fuerte que sea posible. SHA256 es
una buena opción.

Nota: Algunos equipos más antiguos o menos sofisticados, como los teléfonos VoIP compatibles con VPN sólo se puede apoyar SHA1 para el Digest Algorithm.
Consulte la documentación del dispositivo para especi fi cs.

• Introduzca un valor para Toda la vida para especificar el número de días en que el CAwill sea válida. La duración depende de las preferencias personales y las políticas
del sitio. Cambio de la CA con frecuencia es más seguro, pero también es un dolor de cabeza gestión, ya que requeriría volver a emitir nuevas certi fi cados cuando la

CA caduca. Por defecto, la interfaz gráfica de usuario sugiere el uso de 3650 días, que es de aproximadamente 10 años.

143
El libro pfSense, Liberación

• Introduzca los valores de la Nombre distinguido la sección de parámetros personalizados en la CA. Estos suelen ser llenada con la información de
una organización, o en el caso de un individuo, la información personal. Esta informa- ción es principalmente cosméticos, y se utiliza para verificar
la exactitud de la CA, y para distinguir una CA de otra. Puntuación y caracteres especiales no deben ser utilizados.

- Selecciona el Código de país de la lista. Este es el código de país ISO-reconocido, no es un dominio de nivel superior nombre de host.

- Introducir el Estado o Provincia totalmente explicado, no abreviada.

- Introducir el Ciudad.

- Introducir el Organización nombrar, por lo general el nombre de la empresa.

- Introduzca una valida Dirección de correo electrónico.

- Introducir el Nombre común ( CN). Este campo es el nombre interno que identi fi ca la CA. A diferencia de un certificado, el CN ​para una CA no tiene
por qué ser el nombre de host, o cualquier cosa específica. Por ejemplo, podría ser llamado
VPNCA o Mi ca.

Nota: Aunque es técnicamente válida, evitar el uso de espacios en el CN.

• Hacer clic Salvar

Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar
de nuevo.

Importar una Autoridad Certi fi cado existente

Si una entidad de certificación existentes de una fuente externa necesita ser importada, se puede hacer seleccionando la Método de Importar un Certi fi cado existente Autoridad. Esto

puede ser útil de dos maneras: una, de las CA realiza mediante otro sistema, y ​dos, para las entidades emisoras de otros fabricantes debe ser de confianza.

• Introducir el datos de certi fi cado para la CA. Para confiar en una CA de otra fuente, sólo se requiere los datos de certi fi cado para el CA. Por lo general está
contenida en un expediente que termina con. crt o. PEM. Sería texto plano, y encerrado en un bloque, tales como:

- - - - - BEGIN CERTIFICATE -----

[Un manojo de aspecto al azar de datos codificado en base 64]
- - - - - END CERTIFICATE -----

• Introducir el Certi fi cado de clave privada si la importación de una CA externa personalizada o una CA que es capaz de generar sus propios certi fi cados y las listas de revocación de

certi fi cado. Esto es por lo general en un expediente que termina en. llave. Sería de datos de texto sin formato encerrados en un bloque, tales como:

- - - - - COMENZAR la clave privada RSA -----

[Un manojo de aspecto al azar de datos codificado en base 64]
- - - - - FIN clave privada RSA -----

• Introducir el De serie para el próximo certi fi cado si se ha introducido la clave privada. Esto es esencial. Una CA creará certi fi cados cada uno con un número
de serie único en secuencia. Este valor controla lo que la serie será para la próxima certi fi cado generado a partir de esta CA. Es esencial que cada certi fi
cado tiene una serie único, o no habrá problemas en el futuro con la revocación de certi fi cado. Si la siguiente serie es desconocido, intento de estimar el
número de certi fi cados se han hecho de la CA, y luego establecer el número suficientemente alto de una colisión sería poco probable.

• Hacer clic Salvar

Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar
de nuevo.

144 Capítulo 10. Gestión de Certi fi cado

 El libro pfSense, Liberación

Importación de una Autoridad fi cado de cadena lineal o anidada Certi

Si la CA ha sido firmado por un intermediario y no directamente por una entidad de certificación raíz, puede ser necesario importar tanto la raíz y la CA intermedia
juntos en una entrada, tales como:

- - - - - BEGIN CERTIFICATE -----

[/ CA intermedia de texto subordinado certificado]
- - - - - END CERTIFICATE -----
- - - - - BEGIN CERTIFICATE ---- [Root CA texto
del certificado]
- - - - - END CERTIFICATE -----

Crear una Autoridad de Certificación Intermedio fi cado

Un intermedio CA creará un nuevo CA que es capaz de generar certi fi cados, sin embargo, depende de otro CA superior por encima de ella. Para crear uno, seleccione Crear
una Autoridad de Certificación Intermedio fi cado desde el Método desplegable.

Nota: La entidad de nivel superior debe existir en pfSense (creado o importado)

• Seleccione la entidad de nivel superior para firmar esta CA mediante el La firma de la Autoridad Certi fi cado desplegable. Sólo las CA con claves privadas presentes se

mostrará, ya que esto es necesario para firmar adecuadamente esta nueva CA.

• Rellene el resto de parámetros idénticos a los de Crear una autoridad de certi fi cado interno .

Editar una Autoridad Certi fi cado

Después de una CA se ha añadido, se puede editar de la lista de entidades de certificación que se encuentra en Sistema> Administrador de Cert sobre el CA lengüeta.

Para editar una CA, haga clic en el icono en la parte final de su fila. La pantalla presentada permite la edición de los campos como si la CA eran

siendo importado.

Para obtener información sobre los campos de esta pantalla, consulte Importar una Autoridad Certi fi cado existente . En la mayoría de los casos, el objetivo de esta pantalla es la

corrección de la De serie de la CA si es necesario, o para agregar una clave a una CA importados por lo que se puede utilizar para crear y firmar certificados y CRL.

Exportación de una Autoridad Certi fi cado

En la lista de las CA en Sistema> Administrador de Cert sobre el CA pestaña, el certi fi cado y / o clave privada de una CA se puede exportar. En la mayoría de los casos, la clave

privada de una CA no se exporta, a menos que la CA se está moviendo a una nueva ubicación o se está realizando una copia de seguridad. Cuando se utiliza el CA para una VPN

o la mayoría de los otros propósitos, solamente exportar el certi fi cado para la CA.

Advertencia: Si la clave privada de una CA se pone en las manos equivocadas, la otra parte podría generar nuevas certi fi cados que serían considerados válidos
en contra de la CA.

Para exportar el certi fi cado de una CA, haga clic en el icono de la izquierda. Para exportar la clave privada de la entidad emisora, haga clic en el

icono de la derecho. Pase el puntero del ratón sobre el icono y un mensaje emergente mostrará la acción a realizar para facilitar la con fi rmación. Los archivos que se
descarga con el nombre descriptivo de la CA como el nombre de archivo, con la extensión. crt para la certi fi cado, y. llave para la clave privada.

10.1. Certi fi cado de Gestión de la autoridad 145

El libro pfSense, Liberación

Eliminar una Autoridad Certi fi cado

Para eliminar una CA, primero se debe retirar de su uso activo.

• Compruebe áreas que pueden utilizar una CA, como OpenVPN, IPsec y paquetes.

• Eliminar entradas que utilizan la CA o seleccionar una CA diferente

• Navegar a Sistema> Administrador de Cert sobre el CA lengüeta.

• Encuentra la CA para eliminar de la lista.

• Hacer clic al final de la fila de la CA.

• Haga clic en OK en el cuadro de diálogo confirmación.

Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.

Gestión de certi fi cado

certi fi cados se gestionan desde Sistema> Cert Manager, sobre el certi fi cados lengüeta. Desde esta pantalla Certi fi cados se pueden añadir, editar, exportar o
eliminar.

Crear un nuevo Certi fi cado

Para crear un nuevo certi fi cado, iniciar el proceso de la siguiente manera:

• Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta.

• Hacer clic Añadir para crear un nuevo certi fi cado.

• Entrar a Nombre descriptivo para la certi fi cado. Esto se utiliza como una etiqueta para este certi fi cado de todo el GUI.

• Selecciona el Método que mejor se adapte a la forma en que se genere el certi fi cado. Estas opciones y más instrucciones están en las secciones correspondientes a
continuación:

- Importar un Certi fi cado existente

- Crear un certi fi cado interno

- Crear un Certi fi cado de Solicitud de firma

Importar un Certi fi cado existente

Si un certi fi cado existente desde una fuente externa necesita ser importada, se puede hacer seleccionando la Método de
Importar un Certi fi cado existente. Esto puede ser útil para certi fi cados que se han hecho utilizando otro sistema o para la certi fi cados que han sido
proporcionados por un tercero.

• Introducir el los datos de certi fi cado Esto es requerido. Por lo general está contenida en un expediente que termina con. CRT. Sería texto plano, y encerrado en un bloque,
tales como:

- - - - - BEGIN CERTIFICATE -----

[Un manojo de aspecto al azar de datos codificado en base 64]
- - - - - END CERTIFICATE -----

• Introducir el datos clave privada que también se requiere. Esto es por lo general en un expediente que termina en. llave. Sería de datos de texto sin formato encerrados en un bloque,

tales como:

146 Capítulo 10. Gestión de Certi fi cado

 El libro pfSense, Liberación

- - - - - COMENZAR la clave privada RSA -----

[Un manojo de aspecto al azar de datos codificado en base 64]
- - - - - FIN clave privada RSA -----

• Haga clic en Guardar a fi nal del proceso de importación.

Si se encuentran errores, siga las instrucciones que aparecen en pantalla para resolverlos. El error más común no está pegando en la parte derecha de la certi fi
cado o de clave privada. Asegúrese de incluir el bloque entero, incluyendo la cabecera que comienza y termina el pie alrededor de los datos codificados.

Crear un certi fi cado interno

Los más comunes Método es Crear un certi fi cado interno. Esto hará que un nuevo certi fi cado usando una de las Autoridades certi fi cado existentes.

• Selecciona el Autoridad certi fi cado por el cual se firmará este certi fi cado. Sólo una CA que tiene una clave privada presente puede estar en esta lista, ya
que se requiere la clave privada para que el CA para firmar un certificado.

• Selecciona el longitud de la clave para elegir la forma “fuerte” el certi fi cado es en términos de cifrado. Cuanto más larga sea la clave, más segura es. Sin embargo, las
claves más largas pueden tomar más tiempo de CPU para procesar, lo que no siempre es aconsejable utilizar el valor máximo. El valor por defecto de 2048 Es un buen

equilibrio.

• Seleccione un digest Algorithm de la lista suministrada. La mejor práctica actual es utilizar un algoritmo SHA1 más fuerte que sea posible. SHA256 es
una buena opción.

Nota: Algunos equipos más antiguos o menos sofisticados, como los teléfonos VoIP compatibles con VPN sólo se puede apoyar SHA1 para el Digest Algorithm.
Consulte la documentación del dispositivo para especi fi cs.

• Seleccione un Certi fi cado de Tipo que coincide con el propósito de este certi fi cado.

- Escoger Servidor de Certi fi cado si el certi fi cado será utilizado en un servidor VPN o HTTPS. Esto indica dentro de la certi fi cado que se puede
utilizar en una función de servidor, y ningún otro.

Nota: tipo de servidor certi fi cados incluyen atributos extendidos de uso de clave que indica que pueden usarse para la autenticación del servidor,
así como el OID 1.3.6.1.5.5.8.2.2 que se utiliza por Microsoft para signi fi y que un certificado puede ser utilizado como un IKE intermedia. Estos son
necesarios para Windows 7 y más tarde para confiar en el servidor certi fi cado para su uso con determinados tipos de VPN. También están
marcados con una restricción indicando que no son una CA, y tienen nsCertType establece en “servidor”.

- Escoger Certi fi cado de usuario si el certi fi cado se puede utilizar en calidad de usuario final, tales como cliente VPN, pero no se puede utilizar como un

servidor. Esto evita que un usuario utilice su propio certi fi cado de hacerse pasar por un servidor.

Nota: Tipo de Usuario certi fi cados incluyen atributos extendidos de uso de claves que indica que se pueden utilizar para la autenticación de cliente. También
están marcados con una restricción que indica que ellos no son una CA.

- Escoger Autoridad certi fi cado para crear un CA. intermedio Un certificado generado de esta manera estará subordinado a la CA. elegido Se puede crear
sus propios certi fi cados, pero la entidad emisora ​raíz también debe ser incluida cuando se utiliza. Esto también se conoce como “encadenamiento”.

• Introduzca un valor para Toda la vida para especificar el número de días en que el certi fi cado será válida. La duración depende de las preferencias personales y
las políticas del sitio. Cambio de la certi fi cado con frecuencia es más seguro, pero también es un dolor de cabeza gestión, ya que requiere volver a emitir nuevas
certi fi cados cuando expiran. Por defecto, la interfaz gráfica de usuario sugiere el uso de 3650 días, que es de aproximadamente 10 años.

• Introduzca los valores de la Nombre distinguido la sección de parámetros personalizados en el certi fi cado. La mayoría de estos campos se rellena
previamente con datos de la CA. Estos suelen ser llenada con la información de una organización, o en el caso de un individuo, la información personal.
Esta información es principalmente cosméticos, y se utiliza para

10.2. Gestión de certi fi cado 147

El libro pfSense, Liberación

verificar la exactitud de la certi fi cado, y para distinguir un certi fi cado de otro. Puntuación y caracteres especiales no deben ser utilizados.

- Selecciona el Código de país de la lista. Este es el código de país ISO-reconocido, no es un dominio de nivel superior nombre de host.

- Introducir el Estado o Provincia totalmente explicado, no abreviada.

- Introducir el Ciudad.

- Introducir el Organización nombrar, por lo general el nombre de la empresa.

- Introduzca una valida Dirección de correo electrónico.

- Introducir el Nombre común ( CN). Este campo es el nombre interno que identi fi ca el certi fi cado. A diferencia de una CA, el CN ​de un certificado
debe ser un nombre de usuario o nombre de host. Por ejemplo, podría ser llamado VPNCert, usuario01, o vpnrouter.example.com.

Nota: Aunque es técnicamente válida, evitar el uso de espacios en el CN.

• Hacer clic Añadir añadir Nombres alternativos si se le pide. Nombres alternativos permiten que el certi fi cado de
especificar varios nombres que son todas válidas para la CN, como dos nombres de host diferentes, una dirección IP adicional, una dirección URL o una dirección de correo

electrónico. Este campo se puede dejar en blanco si no se requiere o con el objeto no está claro.

- Entrar a Tipo por el nombre alternativo. Este debe contener uno de DNS ( FQDN o nombre de host), IP ( Dirección IP), URI, o correo electrónico .

- Entrar a Valor por el nombre alternativo. Este campo debe contener un valor con el formato correcto en base al tipo introducido.

- Hacer clic Borrar al final de la fila correspondiente a un nombre alternativo que no sean necesarios.

- Repita este proceso para cada uno adicional Nombre alternativo.

• Hacer clic Salvar.

Si se informa de errores, tales como caracteres no válidos u otros problemas de entrada, que se describirán en la pantalla. Corregir los errores, y el intento de salvar
de nuevo.

Crear un Certi fi cado de Solicitud de firma

la elección de una Método de Certi fi cado de Solicitud de firma crea una nueva solicitud de expediente que se pueden enviar en un tercer partido de CA para ser firmado. Esto se

usaría para obtener un certificado de una autoridad de certi fi cado raíz de confianza. Una vez que esto Método

ha sido elegido, el resto de parámetros para la creación de este certi fi cado son idénticos a los de Crear un certi fi cado interno .

Exportación de un certi fi cado

En la lista de los certi fi cados en Sistema> Administrador de Cert sobre el certi fi cados pestaña, un certificado y / o su clave privada puede ser exportado.

Para exportar el certi fi cado, haga clic en el icono. Para exportar la clave privada para el certi fi cado, haga clic en el icono. Exportar

la fi cado CA cado, certi fi cado y la clave privada para el certi fi cado juntos en un archivo PKCS # 12 fi l, haga clic en el icono. A
confirmar la correcta fi le está siendo exportado, pase el puntero del ratón sobre el icono y un mensaje emergente mostrará la acción a realizar.

148 Capítulo 10. Gestión de Certi fi cado

 El libro pfSense, Liberación

Los archivos que se descarga con el nombre descriptivo de la certi fi cado como el nombre de archivo y la extensión. crt para la certi fi cado y. llave para la clave
privada, o. p12 para un PKCS # 12 fi l.

Retirar un certi fi cado

Para eliminar un certificado, en primer lugar se debe retirar de su uso activo.

• Compruebe áreas que pueden utilizar un certificado, tales como las opciones webgui, OpenVPN, IPsec y paquetes.

• Eliminar entradas mediante el certi fi cado, o elegir otro certi fi cado.

• Navegar a Sistema> Administrador de Cert sobre el certi fi cados lengüeta.

• Busque el certi fi cado a eliminar de la lista

• Hacer clic al final de la fila de la certi fi cado.

• Haga clic en OK en el cuadro de diálogo confirmación.

Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.

Certificados de usuario fi

Si una VPN está siendo utilizado por el usuario que requiere certi fi cados, que se pueden crear en una de varias maneras. El método exacto
depende del lugar donde se realiza la autenticación de la VPN y si el certi fi cado ya existe.

Sin autenticación o la autenticación externa

Si no hay ninguna autenticación de usuario, o si la autenticación del usuario se realiza en un servidor externo (RADIUS, LDAP, etc.) y luego hacer un usuario certi fi cado
como cualquier otro certi fi cado descrito anteriormente. Asegurarse de que Certi fi cado de usuario se selecciona para el Certi fi cado de Tipo y establecer el Nombre
común ser el nombre del usuario.

Autenticación local / Crear Certi fi cado al crear un usuario

Si la autenticación de usuario se está realizando en pfSense, el usuario certi fi cado se puede hacer dentro del Administrador de usuarios.

• Navegar a Sistema> Administrador de usuarios

• Crear un usuario. Ver Gestión de usuarios y autenticación para detalles.

• Rellene el Nombre de usuario y Contraseña

• Seleccionar Haga clic para crear un certi fi cado de usuario en el usuario Certi fi cates sección, que mostrará una forma simple para crear un usuario certi fi cado.

- Introducir una breve Nombre descriptivo, que puede ser el nombre de usuario o algo como El acceso remoto VPN de Bob Cert.

- Elegir el correcto Autoridad certi fi cado para la VPN.

- Ajustar el Longitud de la clave y Toda la vida Si es deseado.

• Terminar cualesquiera otros datos de usuario necesarios.

• Hacer clic Salvar

10.2. Gestión de certi fi cado 149

El libro pfSense, Liberación

Autenticación local / Agregar un certificado a un usuario existente

Para agregar un certificado a un usuario existente:

• Navegar a Sistema> Administrador de usuarios

• Hacer clic para editar el usuario

• Hacer clic Añadir bajo usuario Certificados fi.

• Elegir opciones disponibles según sea necesario en el proceso de creación de certi fi cado se describe en Crear un nuevo Certi fi cado ,
o seleccione Elija un certi fi cado existente y luego seleccione una de las Certi fi cados existentes

Para obtener más información acerca de agregar y administrar usuarios, consulte Gestión de usuarios y autenticación .

Cado de gestión de lista de revocación de fi cado

Listas de Revocación de certi fi cado (CRL) son una parte del sistema X.509 que publican listas de certi fi cados que ya no se debe confiar. Estos certi fi cados pueden
haber sido comprometidos o no necesitar ser invalidado. Una aplicación que utiliza una CA, como OpenVPN puede utilizar opcionalmente una CRL para que pueda
verificar la conexión de cliente certi fi cados. Una CRL es generado y firmado en contra de una CA utilizando su clave privada, por lo que con el fin de crear o agregar
certi fi cados a una CRL en la interfaz gráfica de usuario, la clave privada de la CA debe estar presente. Si la CA es administrado externamente y la clave privada de la
CA no está en el cortafuego, una CRL todavía se puede generar fuera del cortafuego y de importación.

La forma tradicional de usar una CRL es tener sólo una CRL por CA y sólo añadir certi fi cados no válidos para que el CRL. En pfSense, sin embargo, múltiples CRL
pueden ser creados por un solo CA. En OpenVPN, diferentes CRLs pueden ser elegidos para las instancias de VPN separadas. Esto podría ser utilizado, por ejemplo,
para evitar que un específico certi fi cado se conecte a una instancia al tiempo que permite que se conecte a otro. Para IPsec, todas las CRL son consultados y no hay
una selección como la que existe actualmente con OpenVPN.

Listas de Revocación de certi fi cado se gestionan desde Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta. Desde esta pantalla entradas de
CRL se pueden añadir, editar, exportar o eliminar. La lista mostrará todas las autoridades de certi fi cado y una opción para agregar una CRL. La pantalla también
indica si la CRL es interno o externo (importado), y muestra un recuento de la cantidad de certi fi cados han sido revocados en cada CRL.

Nota: CRL genera utilizando pfSense 2.2.4-RELEASE y posteriores incluyen adecuadamente el atributo fi cador authorityKeyIdenti para permitir funcionamiento correcto
con strongSwan para su uso con IPsec.

Crear una nueva lista de revocación de Certi fi cado

Para crear una nueva CRL:

• Navegar a Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta.

• Encuentra la fila con la CA que se creará al LCR en.

• Hacer clic Agregar o Importar CRL al final de la fila para crear una nueva CRL.

• Escoger Crear una lista de revocación de Certi fi cado interno para el Método.

• Entrar a Nombre descriptivo para la CRL, que se utiliza para identificar esta CRL en las listas de todo el GUI. Por lo general es mejor para incluir una
referencia al nombre de la entidad y / o el propósito de la CRL.

• Seleccione la CA adecuada del Autoridad certi fi cado Menú desplegable.

150 Capítulo 10. Gestión de Certi fi cado

 El libro pfSense, Liberación

• Introduzca el número de días en que la CRL debe ser válido en el Toda la vida caja. El valor por defecto es 9999
días o años casi 27 y medio.

• Hacer clic Salvar

El navegador será el retorno a la lista CRL, y la nueva entrada se muestra allí.

Importar una lista de revocación de Certi fi cado existente

Para importar una CRL de una fuente externa:

• Navegar a Sistema> Cert Manager, sobre el Certi fi cado de Revocación lengüeta

• Encuentra la fila con la CA que la CRL se importará para.

• Hacer clic Agregar o Importar CRL al final de la fila para crear una nueva CRL.

• Escoger Importar una lista de revocación de Certi fi cado existente para el Método.

• Entrar a Nombre descriptivo para la CRL, que se utiliza para identificar esta CRL en las listas de todo el GUI. Por lo general es mejor para incluir una
referencia al nombre de la entidad y / o el propósito de la CRL.

• Seleccione la CA adecuada del Autoridad certi fi cado Menú desplegable.

• Introducir el los datos de CRL. Esto es por lo general en un expediente que termina en. CRL. Sería de datos de texto sin formato encerrados en un bloque, tales como:

- - - - - COMENZAR X509 CRL -----

[Un manojo de aspecto al azar de datos codificado en base 64]
- - - - - FIN X509 CRL -----

• Hacer clic Salvar al fi nal del proceso de importación.

Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo. El error más común no está pegando en la parte
derecha de los datos de CRL. Asegúrese de introducir el bloque entero, incluyendo la cabecera que comienza y termina el pie alrededor de los datos codificados.

Exportar una lista de revocación de Certi fi cado

En la lista de CRL en Sistema> Administrador de Cert sobre el Certi fi cado de Revocación pestaña, una CRL también puede ser exportado.

Para exportar la CRL, haga clic en el icono. El expediente se descargará con el nombre descriptivo de la CRL como el fi l nombre,
y la extensión. CRL.

Eliminar una lista de revocación cado Certi fi

• Compruebe áreas que pueden utilizar una CRL, como OpenVPN.

• Eliminar entradas utilizando el CRL, o elegir otro lugar CRL.

• Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.

• Busque la CRL a eliminar de la lista

• Haga clic en el icono al final de la fila de la CRL.

• Haga clic en OK en el cuadro de diálogo confirmación.

Si aparece un error, siga las instrucciones que aparecen en pantalla para corregir el problema y vuelva a intentarlo.

10.3. Cado de gestión de lista de revocación de fi cado 151

El libro pfSense, Liberación

Revocar una certi fi cado

Una CRL no es muy útil a menos que contenga revocado certi fi cados. Un certificado se revoca añadiendo el certi fi cado a una CRL:

• Navegar a Sistema> Administrador de Cert sobre el Certi fi cado de Revocación lengüeta.

• Busque la CRL a editar en la lista

• Haga clic en el icono al final de la fila de la CRL. Una pantalla se presenta el detalle de las revocada actualmente
certi fi cados, y un control para agregar otros nuevos.

• Seleccione el certi fi cado de la Elija un certificado a revocar lista.

• Seleccione un Razón de la list