Mejor manera de usar pfSense
-
Hola foro!
Voy a usar pfSense para algo muy concreto y no se muy bien de que forma utilizarlo.
Actualmente tengo una línea SDSL con 16 IPs públicas y varios servidores dando servicios. Ahora tengo un router SDSL en el que también tengo las funciones de firewall. Pero las funciones firewall de este router son muy básicas y limitadas.
Así que he pensado usar pfSense para aumentar la seguridad. Pero se me plantea cual puede ser la mejor forma de usar pfSense aquí. Os comento las dos que se me han ocurrido:
-
Usar pfSense solo como firewall transparente en modo bridge: Osea, pfSense es transparente para la red y no tengo que tocar nada. En este caso, los servidores usan el router actual como gateway, no tengo que cambiar nada.
-
Usar pfSense como router y firewall a la vez: En este caso, el router actual actuaría solo como modem y pfSense harías las funciones de rutado y firewall, e incluso haría la negociación PPPoA (que no se si lo hace). Ya no sería transparente en la red. En este caso, es pfSense quien actúa de gateway, ya que se asignaría la IP externa que ahora tiene el router normal.
No se muy bien que puede ser mejor. Imagino que usar pfSense como router también me dará mas flexibilidad. Sin embargo, tendría que configurar el router actual en modo bridge y no se muy bien si se podrá.
Por otro lado, no se si haciendo de bridge transparente pierdo funcionalidades en el firewall. También quiero usar funcionen como la limitación de ancho de banda por IP o incluso por servicios. No se si en modo bridge se puede usar.
Alguna idea o consejo ?
Gracias!
-
-
La mejor opcion es dejar el pfsense como firewall router para que intercepte todas las conexiones entrantes a tu lan y de ahi ruteas el trafico y elijes q puertos habres para tus servidores y configuras todas las opciones del firewall.
-
Yo coincido con CGA, creo que pierdes cosillas si lo dejas en bridge, no obstante si lo metes por seguridad, yo dejaría todas las publicas sobre el wan del pfsense como ips virtuales y las encaminaría a tus servers con IPs privadas, si por lo que sea te tumban los servicios del firewall, al tener los equipos DMZ ips privdas no se puede llegar a ellos sin traducción de direcciónes.
Bueno, esto es casi paranoide, hoy en día los Floods no son muy efectivos y hay ya bastantes cosillas para mitigar ataques DDOS.
Respecto a la negociacion del SDSL (Supongo que te refieres a SHDSL), el problema pienso que lo tendrías con la tarjetería, mi consejo sería dejar el router si tienes algo decente con las funciones de routing hacia tu operador y poner detrás el Pfsense, sería algo así:
|
ROUTER LAN (IP PUBLICA p.e. 213.172.36.1/28)
|
Pfsense WAN (IPs PUBLICAS: 1REAL(p.e. 213.172.36.2/28)+12 VIRTUALES(213.172.36.3-14/28))
|
|–---- Pfsense DMZ (Red Privada, p.e. 172.26.0.0/27)
|
Pfsense LAN (Red Privada, p.e. 192.168.26.0/24) -
Perdón por el retraso en responder.
Creo que al final me decido por bridge transparente, sin IPs virtuales y dejar el rutado en mi router actual. Eso también me facilita la instalación, ya que no tengo que tocar nada en los servidores. Simplemente "meto" pfsense en medio del router y el switch y arreglado.
Mi pregunta es saber que se pierde realmente por no usar pfSense como router.
Yo necesitaré, al menos de entrada, las funciones de firewall y QoS o control de ancho de banda por IPs.
Esto se puede hacer en modo bridge ?
Gracias!