Link de del manual http://forum.pfsense.org/index.php/topic,7356.0.html http://es.wikipedia.org/wiki/PfSense
pfSense incluye la mayoría de todas las funciones de cortafuegos comerciales caros, y más, en muchos casos. La siguiente es una lista de características disponibles en la actualidad en el comunicado de pfSense 2.0. Todas estas cosas son posibles en la interfaz web, sin tocar nada en la línea de comandos. Además de las características, esta página incluye también todas las limitaciones del sistema del que somos conscientes. Desde nuestra experiencia y las experiencias han contribuido de miles de nuestros usuarios, entendemos muy bien lo que el software puede y no puede hacer. Cada paquete de software tiene sus limitaciones. En lo que diferimos de la mayoría de nosotros es claro que comunicar. También damos la bienvenida la gente a contribuir para ayudar a eliminar estas limitaciones. Muchas de las limitaciones mencionadas son comunes a la fuente de numerosas abierta y firewalls comerciales.
Cortafuegos
Filtrado por IP de origen y destino, puerto de protocolo IP, origen y destino para el tráfico TCP y UDP Capaces de limitar las conexiones simultáneas en una base por regla pfSense utiliza p0f, un avanzado pasiva OS / red de servicios públicos huellas digitales que le permite filtrar por el sistema operativo que inicia la conexión. ¿Quieres permitir que las máquinas FreeBSD y Linux a Internet, pero bloquear las máquinas Windows? pfSense puede hacerlo (entre otras muchas posibilidades) por pasiva la detección del sistema operativo en uso. Opción de registro o registro no coinciden con cada regla de tráfico. Política muy flexible de enrutamiento posible por medio de puerta de enlace en función de cada estado (de equilibrio de carga, conmutación por error, múltiples WAN, etc) Los alias permiten agrupar y denominación de las direcciones IP, las redes y los puertos. Esto ayuda a mantener su conjunto de reglas de firewall limpio y fácil de entender, especialmente en entornos con múltiples direcciones IP públicas y varios servidores. Capa transparente 2 cortafuegos capaz - puede salvar interfaces y filtran el tráfico entre ellos, incluso teniendo en cuenta un firewall IP -menos (aunque es probable que desee una dirección IP para fines de gestión). Normalización de paquetes - Descripción de la documentación matorrales pf - "'fregado' es la normalización de los paquetes para que no haya ambigüedades en la interpretación por el destino final del paquete de la directiva scrub reensambla los paquetes fragmentados también, la protección de algunos sistemas operativos d e algunas formas de. ataque, y deja caer los paquetes TCP que tienen combinaciones no válidas bandera ". Activado por defecto en pfSense o Puede desactivar si es necesario. Esta opción hace que los problemas de o algunas implementaciones implementaciones de NFS, pero es seguro y se debe dejar habilitado en la mayoría de las instalaciones. Desactivar filtro - puede desactivar el filtro de firewall por completo si desea activar
pfSense en un router puro.
Estado de la tabla La mesa del firewall del estado mantiene información sobre las conexiones de red abierta. pfSense es un firewall de estado , por defecto todas las reglas de estado. La mayoría de los firewalls no tienen la capacidad de controlar con precisión su tabla de estado. pfSense tiene numerosas características que permite un control granular de la tabla de estado, gracias a las habilidades de losPF de OpenBSD . Tamaño ajustable tabla de estado - hay varias instalaciones de producción de pfSense con varios cientos de miles los estados. El estado por defecto tamaño de la tabla varía en función de la memoria RAM instalada en el sistema, pero puede ser aumentado sobre la marcha a medida que usted desee.Cada estado tiene aproximadamente 1 KB de memoria RAM, así que tenga en cuenta el uso de la memoria cuando el tamaño de su tabla de estado. No establece de manera arbitraria alta. En función de cada regla: Limitar las conexiones simultáneas de cliente o Estados límite por host o Límite de nuevas conexiones por segundo o Definir tiempo de espera de estado o Definir el tipo de estado o Los tipos de Estado - pfSense ofrece múltiples opciones para el manejo del Estado. Mantener el estado - Funciona con todos los protocolos. Por defecto para o todas las reglas. Modulan el estado - sólo funciona con TCP. pfSense va a generar fuertes o números de secuencia inicial (ISN) en nombre de la máquina. Synproxy Estado - conexiones proxy TCP entrantes para ayudar a proteger o los servidores de desbordamientos TCP SYN falsificados. Esta opción incluye la funcionalidad de mantener el estado y modulan el estado combinado. Ninguno - No guardar las entradas de estado para este tráfico. Esto es muy o rara vez deseable, pero está disponible, ya que puede ser útil en algunas circunstancias limitadas. Estado las opciones de optimización de mesa - PF ofr ece cuatro opciones para la optimización del estado de la tabla. Normal - el algoritmo por defecto o Alta latencia - Útil para enlaces de alta latencia, como las conexiones por o satélite. Expira conexiones inactivas después de lo normal. Agresivo - Expira conexiones inactivas con mayor rapidez. Un uso más o eficiente de los recursos de hardware, pero puede caer conexiones legítimas. Conservador - Trata de evitar errores e n las conexiones legítimas a o expensas de uso de memoria y CPU.
Network Address Translation (NAT)
Puerto reenvía incluyendo rangos y el uso de múltiples direcciones IP públicas 01:01 NAT para direcciones IP individuales o subredes enteras. Salida NAT La configuración predeterminada de NAT todo el tráfico saliente a la IP o WAN. En varios escenarios de la WAN, la configuración predeterminada de tráfico NAT de salida a la IP de la interfaz WAN que se utiliza. Avanzada de salida NAT permite este comportamiento por defecto debe ser o desactivado, y permite la creación de muy NAT flexible (o no NAT) las
normas. Reflexión NAT - en algunas configuraciones, la reflexión NAT es posible que los servicios se puede acceder por la IP pública desde las redes internas.
NAT Limitaciones
PPTP / GRE prescripción - El código de seguimiento del estado de pf para el protocolo GRE sólo puede seguir una sola sesión por dirección IP pública por un servidor externo. Esto significa que si usted utiliza conexiones VPN PPTP, sólo una máquina de la red se pueden conectar simultáneamente a un servidor PPTP en Internet. Un millar de máquinas se pueden conectar simultáneamente a miles de servidores PPTP diferentes, pero sólo una vez en un solo servidor. El único trabajo disponible en todo es el uso de múltiples direcciones IP públicas en el servidor de seguridad, uno por cada cliente, o para usos múltiples IPs públicas en el servidor PPTP externo. Esto no es un problema con otros tipos de conexiones VPN. Una solución para esto está actualmente en desarrollo.
Redundancia CARP de OpenBSD permite la conmutación por error de hardware. Dos o más servidores de seguridad se puede configurar como un grupo de conmutación por error. Si una interfaz de falla en el primario o el principal se desconecta por completo, el secundario se convierte en activo. pfSense también incluye capacidades de co nfiguración de sincronización, para que realice los cambios de configuración en el primario y se sincroniza automáticamente con el servidor de seguridad secundaria. pfsync garantiza la tabla del servidor de seguridad del Estado se replica en todos los firewalls configurados conmutación por error. Esto significa que las conexiones existentes se mantendrán en el caso de fracaso, lo cual es importante para evitar interrupciones en la red.
Limitaciones
Sólo funciona con IPs estáticos públicos, no funciona con conmutación por error de estado por medio de DHCP, PPPoE, PPTP o WAN tipo
Equilibrio de carga Equilibrio de la carga de salida Balanceo de carga de salida se utiliza con múltiples conexiones WAN para proporcionar equilibrio de carga y failover. El tráfico se dirige a la puerta de entrada deseado o en la piscina de balanceo de carga en una base por regla de firewall.
Equilibrio de la carga de entrada Balanceo de carga de entrada se utiliza para distribuir la carga entre varios servidores. Esto es comúnmente utilizado en servidores web, servidores de correo, y otros. Los servidores que no responden a las solicitudes de ping o las conexiones de puerto TCP se retiran de la piscina.
VPN pfSense ofrece tres opciones para la conectividad VPN, IPSec , OpenVPN y PPTP .
IPsec IPsec permite la conectividad con cualquier dispositivo que soporte estándar IPsec. Esto es más comúnmente utilizado para el sitio de conectividad de sitio a las instalaciones pfSense, otros cortafuegos de código abierto (m0n0wall, etc), y la mayoría de todas las soluciones de firewall comercial (Cisco, Juniper, etc.) También se puede utilizar para la conectividad de clientes de telefonía móvil.
OpenVPN OpenVPN es una solución flexible, potente SSL VPN admite una gran variedad de sistemas operativos cliente. Ver el sitio web de OpenVPN para obtener detalles sobre sus habilidades.
Servidor PPTP PPTP es una popular opción de VPN, ya que casi todos los sistemas operativos ha construido en un cliente PPTP, incluyendo cada versión de Windows desde Windows 95 OSR2. Vea este artículo de Wikipedia para más información sobre el protocolo PPTP. El servidor de pfSense PPTP puede usar una base de datos local o un servidor RADIUS para la autenticación.Administración de cuentas RADIUS también se apoya. Las reglas de firewall en la interfaz de control de tráfico PPTP iniciado por los clientes PPTP.
Limitaciones
Debido a las limitaciones en pf NAT, cuando el servidor PPTP está habilitado, los clientes PPTP no pueden utilizar la misma dirección IP pública para las conexiones PPTP saliente. Esto significa que si usted tiene sólo una dirección IP pública, y utilizar el servidor PPTP, los clientes PPTP dentro de la red no va a funcionar. Una solución es usar una segunda IP pública con Advanced NAT de salida para sus clientes internos. Véase también la limitación en PPTP NAT en esta página.
PPPoE servidor pfSense ofrece un servidor PPPoE. Para más información sobre el protocolo PPPoE, consulte esta entrada de la Wikipedia . Una base de datos de usuario local puede ser utilizado para la autenticación y la autenticación RADIUS con optativo de contabilidad con el apoyo también.
Comunicación y Control RRD Gráficos Las gráficas RRD en pfSense mantener información histórica sobre los siguientes. Utilización de la CPU El rendimiento total Firewall estados Rendimiento individual para todas las interfaces Paquetes por segundo tasas para todas las interfaces Interfaz WAN gateway (s) los tiempos de ping de respuesta Colas de tráfico shaper en sistemas con modulación del tráfico habilitado
Información en tiempo real La información histórica es importante, pero a veces es más importante ver la información en tiempo real. Gráficos SVG están disponibles que muestran el rendimiento en tiempo real para cada interfaz. Para los usuarios de Traffic Shaper, el Estado -> pantalla de colas proporciona una visualización en tiempo real del uso de la cola utilizando AJAX indicadores actualizados. La primera página incluye indicadores de AJAX para la visualización de la CPU en tiempo real, la memoria, intercambio y uso de disco, y el tamaño de la tabla de estado.
DNS dinámico Un cliente de DNS dinámico se incluye para que pueda registrar su dirección IP pública con una serie de proveedores de servicio de DNS dinámico. DynDNS DHS DNSexit DyNS easyDNS FreeDNS HE.net Loopia
Namecheap No-IP ODS.org OpenDNS ZoneEdit El cliente también está disponible para RFC 2136 DNS dinámico actualiza, para su uso con servidores DNS como BIND que apoyan esta forma de actualización.
Portal Cautivo Portal cautivo le permite forzar la autenticación o redirección a una página, haga clic a través de acceso a la red.Esto es comúnmente utilizado en las redes de puntos calientes, pero también se usa ampliamente en las redes corporativas de una capa adicional de seguridad en redes inalámbricas o de acceso a Internet. Para más información sobre la tecnología de portal cautivo, en general, consulte el artículo de Wikipedia sobre el tema. La siguiente es una lista de características en el portal cautivo pfSense. Número máximo de conexiones simultáneas - Limitar el número de conexiones al portal por sí misma IP del cliente. Esta función evita una denegación de servicio desde los PCs cliente que envía el tráfico de red en repetidas ocasiones sin tener que identificarse o accediendo a la página de bienvenida. Tiempo de inactividad - desconectar a los clientes que están inactivos por más de la cantidad determinada de minutos. Tiempo de espera dura - Fuerza una desconexión de todos los clientes después de que el número determinado de minutos. De inicio de sesión ventana emergente - Opción para que aparezca una ventana con un botón de cerrar la sesión. Redirección de URL - después de la autenticación o hacer clic en el portal cautivo, los usuarios pueden ser la fuerza redirige a la URL definida. Filtrado de direcciones MAC - por defecto, los filtros de pfSense el uso de direcciones MAC. Si usted tiene una subred detrás de un router en una interfaz de portal cautivo activado, todas las máquinas detrás del router se autorizará después de que un usuario está autorizado. Filtrado de direcciones MAC puede ser deshabilitado para estos escenarios. Opciones de autenticación - Hay tres opciones de autenticación disponibles. Sin autenticación - Esto significa que el usuario simplemente hace clic a o través de la página del portal sin tener que introducir las credenciales. Administrador de usuarios local - Una base de datos de usuario local puede o ser configurado y utilizado para la autenticación. Autenticación RADIUS - Este es el método de autenticación preferido para o entornos corporativos y proveedores de Internet. Se puede utilizar para autenticar a Microsoft Active Directory y numerosos otros servidores RADIUS. Capacidades de RADIUS Obligado re-autenticación o Capaz de enviar actualizaciones de Contabilidad o RADIUS de autenticación de MAC permite un portal cautivo para autenticar a o un servidor RADIUS usando la dirección MAC del cliente como el nombre de usuario y contraseña. Permite la configuración de los servi dores RADIUS redundantes. o HTTP o HTTPS - La página del portal puede ser configurado para utilizar HTTP o HTTPS. Paso a través de direcciones IP y MAC - MAC y las direcciones IP pueden ser la lista
blanca para evitar el portal. Cualquier máquina NAT puerto hacia delante tendrá que ser anuladas por lo que el tráfico de respuesta no llega al portal. Es posible que desee excluir algunas máquinas por otras razones. Administrador de archivos - Esto le permite subir imágenes para su uso en las páginas del portal.
Limitaciones
"Reverse" portal, es decir, la captura de tráfico que se origina a través de Internet y entrar en su red, no es posible. Sólo IP completo y las direcciones MAC se puede excluir desde el portal, no protocolos individuales y los puertos.
Servidor DHCP y relé pfSense incluye funcionalidad de servidor DHCP y relé
Y mucho más ... Esta no es una lista definitiva. Que se ampliará con el tiempo lo permite.
Proyecto News Feed Noticias, comentarios y más relacionados con el proyecto firewall pfSense En un par de semanas, varios de los desarrolladores se reunirán aquí en Louisville para otro hackathon, donde se reúnen y trabajan en ... Después de que nuestro próximo período de sesiones en EuroBSDCon 2011, tenemos previsto organizar una sesión en los EE.UU. este año. Será una o ... Estoy orgulloso de anunciar el lanzamiento de la versión 2.0. Esto hace que los tres últimos años de nuevas características nuevas, con mejoras significativas en casi todos los ...