Usando pfBlockerNG en pfSense 2.2.2

pfSense es el firewall OpenSource favorito para mí, desde mucho tiempo lo he usado dentro de mi red casera y de tal manera lo he usado en lugares donde he trabajado.

Una de las ventajas de este firewall son sus plugins que nos ayudan a adicionar funcionalidades, pfBlockerNG es uno de ellos y este nos trae funcionalidades de bloqueo de direcciones IP de países y la creación de Alias basados en listas públicas o listas creadas por uno mismo, en mi caso he creado una lista personalizada con todas las direcciones asignadas por LACNIC a República Dominicana.

Para entender cómo funciona pfBlockerNG he usado una guía publicada en Security Artwork (Bloqueando tráfico con pfBlockerNG). Luego utilizando un poco de bash scripting he creado un pequeño script que descarga la lista oficial de LACNIC, la filtra buscando .DO y luego crea un archivo de TXT con el formato necesario para que pfBlockerNG pueda hacer uso de él.

Este alias lo uso para varias configuraciones en mi red local, como por ejemplo no hacer uso de la VPN creada usando PIA y que todo tráfico “local” sea enviado sin encriptar.

Posiblemente para otros esto no tengan ninguna utilidad pero a mí me pareció bien poder tener una excepción y no enviar ese tráfico vía VPN.

http://aanetworks.org/iprange/

IPv6, vyatta y pfsense…

El pasado fin de semana me decidí a usar mi cuenta de TunnelBroker.net, esto no es más que un proyecto directo de HE (Hurricane Electric) que para mí es uno de los mejores tuneles para acceder a la red IPv6.

Hace casi 2 meses que tengo esta cuenta y no había pensado en usarla hasta el sábado pasado que no tenía mucho que hacer.

Mi pequeña red es algo distribuida, que se podía esperar? J, actualmente cuenta con un pfSense como Gateway y load balance con varias conexiones(3) al internet después tengo un Vyatta que hace función de router entre varias redes internas y el pfsense. Como lamentablemente pfsense no soporta IPv6 por el momento pero si tiene la opción de pasar el protocolo 41 a una maquina interna que si soporte ipv6 esta máquina interna sin duda tenía que ser vyatta que viene con ipv6 habilitado.

Por el momento no escribiré mucho sobre los detalles técnicos ya que estoy en el trabajo se me hace algo incomodo (y no tengo tanto tiempo disponible..) pero más adelante verán muchos más posts sobre ipv6 y demás…..

Los enlaces de interés!!!

http://pfsense.com

http://vyatta.com

http://www.tunnelbroker.net

Casi olvidaba… si ya eres ipv6enable.. Puedes ver mi wiki interno en http://tank.v6.arielantigua.com/wiki/