🚧DMZ con PFsense

La idea de esta práctica es crear una DMZ con pfsense para evitar las intrusiones externas hacia una red interna

Origen: https://www.incibe.es/empresas/blog/dmz-y-te-puede-ayudar-proteger-tu-empresa

Pasos para Configurar una DMZ en pfSense

🔹 Requisitos previos

  • Un servidor o máquina virtual con pfSense instalado.

  • Al menos tres interfaces de red (NICs) en pfSense:

    • WAN (conectada a Internet).

    • LAN (red interna segura).

    • DMZ (zona perimetral con servidores accesibles desde Internet).

  • Un servidor o servicio (como un servidor web, FTP, VPN o correo) que se ubicará en la DMZ.

1️⃣ Configurar las Interfaces en pfSense

  1. Accede a la interfaz web de pfSense (por defecto en https://192.168.1.1).

  2. Ve a Interfaces > Assignments y agrega una nueva interfaz para la DMZ.

  3. Renómbrala como DMZ y asigna una dirección IP estática (por ejemplo, 192.168.2.1/24).

  4. Guarda y aplica los cambios.

2️⃣ Crear Reglas de Firewall para la DMZ

🔹 Permitir tráfico saliente desde la DMZ

  1. Ve a Firewall > Rules > DMZ y agrega una nueva regla:

    • Protocolo: TCP/UDP

    • Origen: DMZ net

    • Destino: Cualquier (o limitar a servicios específicos, como HTTP/HTTPS)

    • Acción: Permitir

  2. Guarda y aplica los cambios.

🔹 Restringir tráfico entre la DMZ y la LAN

Por seguridad, la DMZ no debería acceder directamente a la LAN. Para bloquear este tráfico:

  1. En Firewall > Rules > LAN, agrega una regla:

    • Protocolo: Cualquier

    • Origen: DMZ net

    • Destino: LAN net

    • Acción: Bloquear

  2. Guarda y aplica los cambios.

3️⃣ Configurar NAT y Reglas de Redirección (Opcional)

Si deseas que los servidores en la DMZ sean accesibles desde Internet:

  1. En Firewall > NAT > Port Forward, crea una regla:

    • Interfaz: WAN

    • Protocolo: TCP

    • Puerto externo: 80 (para HTTP) o 443 (para HTTPS)

    • Destino: 192.168.2.X (IP del servidor en la DMZ)

    • Acción: Permitir

  2. Aplica los cambios.

4️⃣ Verificación y Pruebas

  • Prueba la conectividad desde un dispositivo en la DMZ para asegurarte de que puede acceder a Internet.

  • Asegúrate de que la DMZ no pueda acceder a la LAN probando un ping desde la DMZ a un equipo en la LAN.

  • Desde Internet, accede a los servicios configurados en la DMZ (si aplicaste reglas de NAT).

AnteriorPFsenseSiguientePassbolt: gestor de contraseñas autohospedado

Última actualización