Hola a tod@s,
En este post vamos a ver cómo realizar la configuración inicial y avanzada en nuestro firewall OPNSense en Azure.
La topología que vamos a utilizar será esta:
- Lo primero que vamos a realizar será cambiar la password de root del sistema, para ello accedemos a Lobby > Password y procedemos a cambiarla:
- Esta password también la podemos cambiar desde System > Access > Users > root:
- Sobre System > Settings > General configuramos el nombre del host, dominio, zona horaria y los servidores DNS:
- Sobre Services > Network Time > General configuramos los servidores NTP:
- Las interfaces LAN y WAN las dejamos tal y como están, configuradas por DHCP, ya que en la propia máquina de Azure las hemos configurado con una IP estática:
- Sobre Firewall > Aliases vamos a configurar los distintos objetos que iremos utilizando en las reglas de filtrado del firewall OPNSense:
- Sobre Type podemos ver los distintos objetos que nos podemos ir creando, Host(s), Network(s), Port(s), etc… :
- Estos son los que nos hemos creado en un principio, esta lista irá en aumento a medida que vayamos necesitando objetos en nuestras reglas de filtrado:
- Sobre Firewall > Rules > WAN nos hemos creado esta regla de entrada (IN) para acceder al portal de configuración de OPNSense a través de otro puerto distinto al 443:
- Para habilitarlo, debemos ir a System > Settings > Administration y sobre TCP port configurar el puerto:
- Como vemos, ya podemos acceder a la configuración de OPNSense a través del puerto que hemos configurado:
- La regla que había configurada por defecto al puerto 443, la podemos deshabilitar:
- A continuación, vamos a configurar esta regla que permita todo el tráfico entre las máquinas de la misma subred dónde vamos a ubicar las máquinas virtuales de Azure, para ello accedemos a Firewall > Rules > LAN:
- Ahora vamos a habilitar la salida a Internet para las máquinas que nos montemos en Azure, para ello, accedemos a Firewall > NAT > Outbound seleccionamos Hybrid outbound NAT rule generation y nos creamos esta regla para en NATEO:
- Sobre Firewall > Rules > LAN nos debemos de crear esta regla de entrada (IN), esta regla va a permitir el tráfico saliente a Internet desde nuestra subred para máquinas virtuales en Azure, sólo permite el tráfico a Internet y no a otras IPs privadas, de ahí que marquemos el invert:
Saludos y espero que os resulte de ayuda 😉
Un comentario