INTRODUCCIN

pfSense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin. El proyecto es sostenido comercialmente por BSD Perimeter LLC.

PFSENSE
HISTORIA. El proyecto pfSense se inici en septiembre de 2004 por Chris Buechler y Ullrich Scott como un fork de m0n0wall, enfocado a las instalaciones en PC y Servidores (al contrario de m0n0wall que se orientaba a ambientes embebidos y ordenadores de bajos recursos). Se calcula que para diciembre de 2010, pfSense contaba con ms de un milln de descargas.2 De acuerdo a su pgina oficial, se ha instalado exitosamente en distintos ambientes, que van desde redes domsticas hasta grandes corporaciones, universidades y otros tipos de organizaciones. INSTALACION Y USO. PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mnimo de dos tarjetas de red, el proceso de instalacin es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administracin est basado en PHP y tericamente todas las configuraciones y administracin se pueden realizar desde all, por lo tanto no es indispensable contar con conocimientos avanzados sobre la lnea de comandos UNIX para su manejo.

FILTRADO DE DATOS.
ASISTENCIA. Se recomienda que utilice el Traffic Shaping Asistente para crear un conjunto predeterminado de reglas desde la que empezar. Las normas que el asistente crea a veces pueden lidiar bien con el trfico de VoIP, pero es necesario ajustar para dar cabida a otro tipo de trfico. Como ejemplo, echemos un vistazo a la configuracin de trfico P2P. Suponiendo que use el asistente, habr qP2Pup y qP2Pdown creado ya. Al iniciar una aplicacin P2P, debera ver el trfico en estas colas. Estn diseados para transportar la mayor parte del trfico P2P, que normalmente se hace ms lento su conexin hacia abajo. El trfico de genricos, como las pginas web (HTTP), correo electrnico, mensajera instantnea, VoIP, etc voy a entrar en otras colas. Inicialmente, el asistente establece todas las colas de hasta el 1% del ancho de banda. Esto no es suficiente. En particular, los de la cola qwanacks ciertamente necesitan ms ancho de banda si lo hace un montn de descarga. En primer lugar, una breve nota acerca de los paquetes ACK.

ACK. Cuando se descarga, el equipo tiene que enviar (upload) los paquetes ACK. Estos son, bsicamente, diciendo: "s, tengo esa parte de la descarga OK". Si el equipo que se descarga desde detecta que un ACK no se ha recibido, se supone que los datos no se ha recibido y lo enva de nuevo. La velocidad a la que ACK son enviados de vuelta tambin se utiliza para ayudar a determinar la velocidad mxima que se puede descargar los datos de los casos, por lo que es importante que los ACK son enviados tan pronto como sea posible y no se cay con el fin de mantener sus descargas que fluye rpido. Adems, en repetidas ocasiones cay ACKs puede dar lugar a las conexiones interrumpidas, en la pgina web de los tiempos de espera, etc. Cuando se descarga, qwanacks es donde los paquetes ACK su ordenador enva ir. Usted necesita asegurarse de que esta cola tiene suficiente ancho de banda para mantener tus descargas. Para calcular cunto ancho de banda que necesita, hay dos opciones. Usted podra simplemente experimento, manteniendo un ojo en la cola mientras se descarga tan rpido como su conexin lo permite, o usted podra tratar de resolverlo. Como punto de partida aproximado, una conexin por cable NTL 10Mb/512Kb necesita alrededor de 260-270Kb/segundos, de los paquetes ACK para descargar a toda velocidad.

Tomando el ejemplo anterior, podemos ver que ACKs puede consumir el 60% del ancho de banda de subida disponible. As, qwanacks debera tener al menos 60% del ancho de banda disponible (yo uso 65% para el anterior). Si se establece qwanacks como este, no debera ver las gotas en la cola. Sin embargo, usted ver mucho en qP2Pup, pero eso est bien.P2P paquetes de carga son slo el trfico masivo, no muy importante por lo que no importa si se les cae un poco. qP2Pup ahora va a utilizar lo que queda de la banda de subida disponible, despus de qwanacks ha utilizado hasta el 65% de la misma. Usted probablemente querr aumentar la asignacin de ancho de banda de qwandef as, ya que es donde las peticiones HTTP y otras cargas generales van, que lo ms probable es que usted quiere ser una prioridad mayor que qP2Pup. Porcentajes de ancho de banda no es necesario sumar el 100%, pero a menos que tengas una conexin muy lenta que no necesita demasiado para qwandef ya que es sobre todo pequeas peticiones o los impares pocos kb de correo electrnico.

PfSense 2.0 Gua de Traffic Shaping El acceso a la configuracin de pfSense Traffic Shaping es a travs de la opcin de Traffic Shaper en el Firewall de lista desplegable en la WebGUI.

QUE ES LA MODULACION DEL TRAFICO? Control del trfico (tambin conocido como "gestin de trfico,") es el control del trfico de redes informticas con el fin de optimizar o garantizar el rendimiento, baja latencia, y / o aumentar el ancho de banda utilizable por retrasar los paquetes que cumplen con ciertos criterios. Ms en concreto, de trfico es cualquier accin en un conjunto de paquetes (a menudo llamado un arroyo o un flujo), que impone un retraso adicional en los paquetes de tal manera que se ajusten a alguna restriccin predeterminada (un contrato o un perfil de trfico).

VPN
Pfsense incorpora el paquete openvpn que permite crear redes privadas virtuales (VPN).

Con OpenVPN podremos extender nuestra red a cualquier lugar del mundo, haciendo que la identificacin y la comunicacin sean seguras.
Antes de tener pfSense el administrador de la red se conectaba al escritorio de uno de los servidores Windows de su red por RDP, desde una IP fija. Al usar una IP fija se poda controlar con las reglas de uno de los routers ADSL el acceso a este servicio. Ahora, con OpenVPN el administrador entra directamente en la red local, sin necesidad de que ningn ordenador le haga de puente. Y lo hace desde una IP dinmica, autentificndose en base a certificados SSL.

INSTRUCCIONES.
Hay dos tipos de imgenes de pfSense: Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalacin de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensin img. No soporta ni teclado ni monitor, hay que conectar cable serie para acceder a la consola de pfSense y poder hacer la configuracin inicial. LiveCD. Es una imagen iso, tambin comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opcin para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfase web. ltimas imgenes oficiales de pfSense (versin oficial con todos los parches que hayan salido): Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedded LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso Imgenes no-oficiales de Hacom: Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayora de ellos basados en miniPC con tarjeta Compact Flash. Las imgenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se diferencian de las oficiales por: Usar el gestor de arranque grub en lugar del propio de FreeBSD.

Soporte para teclado y monitor. No se precisa cable serie para la configuracin inicial.
Las imgenes que empiezan por pfSense-releng_1_2-snapshot070424 corresponden a la versin 1.2 BETA de pfSense, con fecha 24-abril-2007. Tengo esta versin funcionando satisfactoriamente desde el 25-abril-2007.

ADMINISTRACIN DE REDES.
JORGE GONZALEZ. HAMALIEL FLORES.

CATEDRATICO. FRANCISCO VAZQUEZ GUZMAN.