INTRODUCCIÓN

pfSense es una distribución personalizada de FreeBSD adaptado para su uso

como Firewall y Router. Se caracteriza por ser de código abierto, puede ser

instalado en una gran variedad de ordenadores, y además cuenta con una

interfaz web sencilla para su configuración. El proyecto es sostenido

comercialmente por BSD Perimeter LLC.

PFSENSE

HISTORIA.

El proyecto pfSense se inició en septiembre de 2004 por Chris Buechler y Ullrich Scott como un fork de m0n0wall, enfocado a las instalaciones en PC y Servidores (al contrario de m0n0wall que se orientaba a ambientes embebidos y ordenadores de bajos recursos). Se calcula que para diciembre de 2010, pfSense contaba con más de un millón de descargas.2 De acuerdo a su página oficial, se ha instalado exitosamente en distintos ambientes, que van desde redes domésticas hasta grandes corporaciones, universidades y otros tipos de organizaciones.

INSTALACION Y USO.

PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administración está basado en PHP y teóricamente todas las configuraciones y administración se pueden realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de comandos UNIX para su manejo.

FILTRADO DE DATOS.

ASISTENCIA.

Se recomienda que utilice el Traffic Shaping Asistente para crear un conjunto predeterminado de reglas desde la que empezar. Las normas que el asistente crea a veces pueden lidiar bien con el tráfico de VoIP, pero es necesario ajustar para dar cabida a otro tipo de tráfico.

Como ejemplo, echemos un vistazo a la configuración de tráfico P2P. Suponiendo que use el asistente, habrá qP2Pup y qP2Pdown creado ya. Al iniciar una aplicación P2P, debería ver el tráfico en estas colas. Están diseñados para transportar la mayor parte del tráfico P2P, que normalmente se hace más lento su conexión hacia abajo. El tráfico de genéricos, como las páginas web (HTTP), correo electrónico, mensajería instantánea, VoIP, etc voy a entrar en otras colas.

Inicialmente, el asistente establece todas las colas de hasta el 1% del ancho de banda. Esto no es suficiente. En particular, los de la cola qwanacks ciertamente necesitan más ancho de banda si lo hace un montón de descarga. En primer lugar, una breve nota acerca de los paquetes ACK.

ACK.

Cuando se descarga, el equipo tiene que enviar (upload) los paquetes ACK. Estos son, básicamente, diciendo: "sí, tengo esa parte de la descarga OK". Si el equipo que se descarga desde detecta que un ACK no se ha recibido, se supone que los datos no se ha recibido y lo envía de nuevo. La velocidad a la que ACK son enviados de vuelta también se utiliza para ayudar a determinar la velocidad máxima que se puede descargar los datos de los casos, por lo que es importante que los ACK son enviados tan pronto como sea posible y no se cayó con el fin de mantener sus descargas que fluye rápido. Además, en repetidas ocasiones cayó ACKs puede dar lugar a las conexiones interrumpidas, en la página web de los tiempos de espera, etc.

Cuando se descarga, qwanacks es donde los paquetes ACK su ordenador envía ir. Usted necesita asegurarse de que esta cola tiene suficiente ancho de banda para mantener tus descargas. Para calcular cuánto ancho de banda que necesita, hay dos opciones. Usted podría simplemente experimento, manteniendo un ojo en la cola mientras se descarga tan rápido como su conexión lo permite, o usted podría tratar de resolverlo. Como punto de partida aproximado, una conexión por cable NTL 10Mb/512Kb necesita alrededor de 260-270Kb/segundos, de los paquetes ACK para descargar a toda velocidad.

Tomando el ejemplo anterior, podemos ver que ACKs puede consumir el 60%

del ancho de banda de subida disponible. Así, qwanacks debería tener al

menos 60% del ancho de banda disponible (yo uso 65% para el anterior). Si

se establece qwanacks como este, no debería ver las gotas en la cola. Sin

embargo, usted verá mucho en qP2Pup, pero eso está bien.P2P paquetes de

carga son sólo el tráfico masivo, no muy importante por lo que no importa si

se les cae un poco. qP2Pup ahora va a utilizar lo que queda de la banda de

subida disponible, después de qwanacks ha utilizado hasta el 65% de la

misma. Usted probablemente querrá aumentar la asignación de ancho de

banda de qwandef así, ya que es donde las peticiones HTTP y otras cargas

generales van, que lo más probable es que usted quiere ser una prioridad

mayor que qP2Pup. Porcentajes de ancho de banda no es necesario sumar

el 100%, pero a menos que tengas una conexión muy lenta que no necesita

demasiado para qwandef ya que es sobre todo pequeñas peticiones o los

impares pocos kb de correo electrónico.

PfSense 2.0 Guía de Traffic Shaping

El acceso a la configuración de pfSense Traffic Shaping es a través de la opción de Traffic Shaper en el Firewall de lista desplegable en la WebGUI.

¿QUE ES LA MODULACION DEL TRAFICO?

Control del tráfico (también conocido como "gestión de tráfico,") es el control del tráfico de redes informáticas con el fin de optimizar o garantizar el rendimiento, baja latencia, y / o aumentar el ancho de banda utilizable por retrasar los paquetes que cumplen con ciertos criterios. Más en concreto, de tráfico es cualquier acción en un conjunto de paquetes (a menudo llamado un arroyo o un flujo), que impone un retraso adicional en los paquetes de tal manera que se ajusten a alguna restricción predeterminada (un contrato o un perfil de tráfico).

VPN

Pfsense incorpora el paquete openvpn que permite crear redes privadas virtuales

(VPN).

Con OpenVPN podremos extender nuestra red a cualquier lugar del mundo,

haciendo que la identificación y la comunicación sean seguras.

Antes de tener pfSense el administrador de la red se conectaba al escritorio de

uno de los servidores Windows de su red por RDP, desde una IP fija. Al usar una

IP fija se podía controlar con las reglas de uno de los routers ADSL el acceso a

este servicio.

Ahora, con OpenVPN el administrador entra directamente en la red local, sin

necesidad de que ningún ordenador le haga de puente. Y lo hace desde una IP

dinámica, autentificándose en base a certificados SSL.

INSTRUCCIONES.

Hay dos tipos de imágenes de pfSense:

Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalación de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensión img. No soporta ni teclado ni monitor, hay que conectar cable serie para acceder a la consola de pfSense y poder hacer la configuración inicial.

LiveCD. Es una imagen iso, también comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opción para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfase web.

Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que hayan salido):

Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedded

LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso

Imágenes no-oficiales de Hacom:

Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayoría de ellos basados en miniPC con tarjeta Compact Flash. Las imágenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se diferencian de las oficiales por:

Usar el gestor de arranque grub en lugar del propio de FreeBSD.

Soporte para teclado y monitor. No se precisa cable serie para la configuración inicial.

Las imágenes que empiezan por pfSense-releng_1_2-snapshot070424 corresponden a la versión 1.2 BETA de pfSense, con fecha 24-abril-2007. Tengo esta versión funcionando satisfactoriamente desde el 25-abril-2007.

ADMINISTRACIÓN DE REDES.

JORGE GONZALEZ.

HAMALIEL FLORES.

CATEDRATICO.

FRANCISCO VAZQUEZ GUZMAN.