[ Introducción ] [
Caso-Estudio
] [ Instalación ] [ Configuración base ] [ Alias ] [ NAT
] [ Reglas ] [ DNS ] [ DHCP
] [ Caudal ] [ OpenVPN
] [ Portal ]
[ OpenVPN sin DHCP
] [ spamd ]
Acceso a la interfase web
[System] [General Setup]
[System] [Advanced functions]
[Interfaces] [Assign]
[Interfaces] [LAN]
[Interfaces] [WAN]
[Interfaces] [WAN1]
[Interfaces] [WAN2]
[Interfaces] [Alumnes]
[Interfaces] [Wireless]
Guardar la configuración
Desde un navegador de páginas web iremos a la dirección IP que hayamos puesto (en la LAN del cortafuegos) durante la instalación:
http://192.168.XXX.1
Y nos validaremos con el usuario admin y la contraseña pfsense.
Cuando se entra por primera vez aparece un asistente, pero se puede saltar haciendo clic sobre el logotipo de pfSense. Prefiero hacerlo así para ir familiarizándome con los menús ...
El configurador web está basado en un servidor web reducido llamado lighttpd. No sé si es un problema de este servidor o de su configuración pero, a veces, te ves obligado a refrescar la página para que se vea se vea bien o a repetir la acción de algún botón (por ejemplo el de descarga de la configuración del cortafuegos en formato XML). Resulta algo incómodo pero no tiene más importancia.
Iremos pues a [System] [General Setup] para ajustar la configuración básica de nuestro cortafuegos:
A continuación, si queremos acceso a la consola por SSH y/o hacer servir HTTPS hay que ajustar cosas en [System] [Advanced functions]. El certificado de seguridad y la llave privada para el acceso web no son imprescindibles pero sí recomendables, sobretodo si queremos evitar el típico aviso sobre los certificados de cuando se entra en modo https. En www.eclectica.ca/howto/ssl-cert-howto.php hay un buen tutorial sobre certificados SSL.
El usuario de acceso a la consola por SSH es siempre admin. El cambio del nombre del usuario administrador vía web no afecta el del administrador vía SSH. Por contra, el cambio de contraseña sí que afecta los dos modos de administración (SSH y web).
Habrá que ir también a [Interfaces] [Assign] con el fin de asignar el resto de interfases (recordemos que LAN y WAN ya se asignaron durante la instalación y configuración inicial). En un primer momento, el sistema va denominando las interfases que asignamos como Optional 1, Optional 2, Optional 3, Optional 4, ...
En los apartados que hay más adelante de configuración de cada una de las interfases podremos darles un nombre a nuestro gusto (WAN1, WAN2, Wireless i Alumnes). La pantalla que se muestra a continuación es ya la final de asignación de interfases:
Terminamos por ajustar la configuración de la LAN asegurándonos que tenemos FTP-Proxy Helper desactivado:
Asignaremos a la WAN (puerta de enlace por defecto de nuestro cortafuegos) una IP estática (192.168.AAA.2), indicaremos cuál es su puerta de salida (192.168.AAA.1, IP privada del router ADSL) y le desactivaremos FTP-Proxy Helper. Observemos que empleamos como máscara de esta red 29 bit (255.255.255.248), ya que tenemos un proxy en 192.168.AAA.3.
Activamos la interfase opcional 1, le ponemos por nombre WAN1, le asignamos una IP estática (192.168.BBB.2), indicamos cuál es su puerta de salida (192.168.BBB.1, IP privada del router ADSL) y le desactivamos FTP-Proxy Helper. Observemos que empleamos como máscara de esta red 30 bit (255.255.255.252), de tal forma que entre esta interfase y el router ADSL es imposible poner nada más.
Seguimos los mismos pasos (que para WAN1) para la interfase opcional 2, a la que llamaremos WAN2, le asignamos una IP estática (192.168.CCC.2), indicamos cuál es su puerta de salida (192.168.CCC.1, IP privada del router ADSL) y le desactivamos FTP-Proxy Helper.
La interfase opcional 4 es la de la LAN de Alumnes. Le pondremos la dirección estática 192.168.YYY.1, con máscara de 24 bit (255.255.255.0). No le tenemos que poner una puerta de enlace, ya que son las reglas del cortafuegos las que definen a través de que WAN (WAN, WAN1 o WAN2) va el tráfico. Además, aquí dejaremos activado FTP-Proxy Helper.
Finalmente, la interfase opcional 3 la destinaremos a la red sin hilos (wireless), con FTP-Proxy Helper desactivado:
Se aconseja ir a menudo a [Diagnostics][Backup/Restore][Remote] y guardar (download) la configuración. Genera un archivo XML a guardar. Además, el nombre de este archivo queda serializado con la fecha/hora, por lo que en caso de problemas puede ser muy útil recuperar la última configuración buena conocida.
Piensa que el archivo XML puede contener información delicada (llaves privadas SSL, contraseñas, estructura de nuestra red, ...) y conviene guardarlo en lugar seguro.
También hay que tener en cuenta que haciendo pruebas nos podemos encontrar con algunas configuraciones de comportamiento errático por lo que, ante la duda, más vale recuperar la configuración que sabemos que funcionaba correctamente.
Autor: Josep Pujadas i Jubany
© 2007. Todos los derechos reservados