Archivo del Autor: David Cuadrado Sanchez

Configurar las VLAN de los diferentes operadores en un Router Neutro

Hoy os quiero dejar las diferentes VLAN, tanto de datos como de voz e IPTV para que podáis configurar vuestros propios routers neutros o firewalls y quitar los routers de las compañías, y conseguir mucho mas control sobre vuestras conexiones:

Movistar

Los datos de configuración son:

  • DATOS: VLANID 6 y Prioridad 1
  • VOZ: VLANID 3 y Prioridad 4
  • IPTV: VLANID 2 Prioridad 4

Vodafone

Los datos de configuración son:

  • DATOS: VLANID 100 y Prioridad 0
  • VOZ: VLANID 100 y Prioridad 0
  • IPTV: VLANID 105 Prioridad 4

Orange

Los datos de configuración son:

  • DATOS: VLANID 832 y Prioridad 0
  • VOZ: VLANID 832 y Prioridad 0
  • IPTV: VLANID 838 Prioridad 4

Jazztel

Los datos de configuración son:

  • DATOS: VLANID 1074 y Prioridad 0
  • VOZ: VLANID 1074 y Prioridad 0
  • IPTV: VLANID 838 Prioridad 4

Digi

Los datos de configuración son:

  • DATOS: VLANID 20 y Prioridad 0
  • VOZ: VLANID 20 y Prioridad 0

Paquete indispensable para pfSense

Hoy os traigo un paquete que es indispensable tener instalado en vuestro pfSense así como revisarlo, el paquete es System Patches, este programa lo que nos permite es instalar parches para nuestra version de pfSense instalada, y así ir evitando las vulnerabilidades que vayan surgiendo o problemas del propio sistema

pfSense ufs por encima del 100%

Tener el ufs por encima del 100%, suele ser problema de la rotación de logs tanto del sistema como de las aplicaciones instaladas, en mi caso snort, se van creando y creando archivos hasta que llenan nuestro disco duro, para ello se debe de configurar bien tanto en las aplicaciones como en el sistema la rotación y retención de ficheros de log en función del espacio que tenga el HD de pfSense.

Una vez actualizado en status -> system logs -> settings en el apartado rotation, te dice cuanto ocupan los logs actualmente, comprueba que este funcionando bien estando pendiente de esa capacidad, se muestra asi:

Disk space currently used by log files: 38M
Worst case disk usage for base system logs based on current global settings: 58.11 MiB
Remaining disk space for log files: 22G

Backup pfBlockerNG en pfSense

Hoy vamos a ver como realizar un backup de pfBlockerNG en otro firewall, para ello debemos de hacer lo siguiente:

  1. Vamos a Firewall -> pfBlockerNG
  2. Vamos a la pestaña SYNC
  3. Desplegamos Enable Sync y elegimos la opción: «Sync to Host(s) defined below«
  4. En el apartado XMLRPC Replication Targets, podemos meter todos los hosts que queramos, yo en mi caso tengo reglas unificadas para casi todos mis clientes, y cuando realizo cambios en el master y veo que todo esta OK, habilito todos los FWS y de esta manera sincronizo el master con todos los demás.

Errores PHP tras actualizar pfsense por shell

Tras actualizar nuestro pfsense por shell, nos salen muchos errores php, tanto en el shell como en el WebConfigurator que no deja acceder, los errores suelen ser del siguiente modo:

PHP ERROR: Type: 64 en el WebConfigurator y Warning: PHP Startup: Unable to load dynamic library en el Shell.

Para solucionar este problema debemos de hacer lo siguiente:

  1. Accedemos por SSH al pfsense
  2. Accedemos al shell (8)
  3. Una vez dentro del shell, escribimos lo siguiente: shutdown -r now

Una vez se reinicie el equipo, nuestro pfsense volverá a la normalidad.

Cortes tarjeta de Red Realtek pfsense

Seguramente hayas experimentado que la tarjeta de red deja de funcionar en tu pfsense con tarjetas de red realtek, pero que el firewall, aparentemente sigue funcionando sin problemas, pues hoy os traigo una solución que a mi personalmente me ha servido:

  • Debemos de ingresar en el Shell y ejecutar los siguientes comandos, para instalar los últimos drivers de la tarjeta:
    • fetch -v https://pkg.freebsd.org/FreeBSD:12:amd64/latest/All/realtek-re-kmod-196.04.txz
    • pkg install -f -y realtek-re-kmod-196.04.txz
  • Cuando hayamos realizado esto, debemos de ir a: Diagnostic -> Edit File
  • Vamos al archivo /boot/loader.conf y añadimos las siguientes lineas:
    • if_re_load=»YES»
    • if_re_name=»/boot/modules/if_re.ko»
  • Vamos a System -> Advance -> Networking, y lo dejamos como muestra la siguiente imagen:
  • Reiniciamos el firewall, una vez iniciado, comprobamos si ha cargado correctamente el driver, ejecutamos kldstat en el shell y nos deberia de salir if_re.ko, como se muestra en la siguiente imagen

Limitar registros de Snort en pfsense para un mismo SID

Seguramente, si estás iniciándote en snort, habrás observado que en en las alertas de las interfaces, se generan muchos registros repetidos con el mismo SID:GID, para limitar esto, es muy sencillo, tenemos que hacer lo siguiente:

  1. En snort, nos vamos a Suppress
  2. Le damos añadir
  3. Le ponemos un nombre y una descripción y en el suppression rule ponemos lo siguiente, sin las comillas:
    • «event_filter gen_id 1, sig_id 0, type limit, track by_src, count 1, seconds 60» esto lo que hace, es que para todos los sig ids, solo nos va a mostrar un único registro repetido cada 60 segundos.
  4. Guardamos y salimos
  5. Ahora nos vamos a editar las interfaces que tengamos configuradas y en todas, vamos a Settings, buscamos Alert Suppression and Filtering, y seleccionamos la que hemos añadido.
  6. Reiniciamos las interfaces y listo

pfBlockerNG en pfSense Google Chrome

Google chrome, desde hace un tiempo usa la opción de usar DNS seguro y nuestro pfBlockerNG no es capaz de bloquear nada si usamos este navegador, la opción de quitar esto en cada navegador de nuestra red, no es viable, por lo que para hacer funcionar correctamente nuestro pfBlockerNG con google chrome, debemos de hacer las siguiente configuraciones:

  • Vamos al servicio DNS Resolver y en custom options añadimos lo siguiente:
  • Una vez realizado esto, tenemos que añadir dos alias URL con las siguientes direcciones:
    1. https://public-dns.info/nameservers.txt
    2. https://raw.githubusercontent.com/Sekhan/TheGreatWall/master/TheGreatWall_ipv4
  • Ahora nos vamos a las reglas del Firewall y añadimos la siguiente regla:
    • Action: Reject
    • Interface: LAN
    • Adress Family: IPv4+IPv6
    • Protocol: Any
    • Source: LAN net
    • Destination: Singles host or alias (al alias creado anteriormente)

De esta forma nuestro pfBlockerNG empezara a cortar todo lo que tengamos puesto en Google Chrome.

pfsense 2.4.5 «Please wait while the update system initializes»

Al intentar actualizar los paquetes que tenemos instalados en nuestro pfsense, se queda continuamente «Please wait while the update system initializes» y nunca empieza a actualizar, para ello tenemos que hacer lo siguiente:

  1. Si tenemos acceso por VGA a nuestro firewall, vamos y accedemos al shell (8)
  2. Si no tenemos acceso mediante VGA, accedemos por SSH al firewall y vamos a la opcion shell (8) y tenemos que lanzar los siguientes comandos:
  • pkg-static update -f
  • pkg-static upgrade -f