Ayuda a elegir Firewall Para una casa o pequeño negocio

shoriishi

Miembro Regular
Se incorporó
9 Febrero 2023
Mensajes
84
Hola gente, no se mucho del tema de redes y estoy buscando que me recomienden un firewall de código abierto (gratis no hay lucas para dedicar a un firewall) para mi hogar donde quiero bloquear algunas webs de contenido para adultos, spam, malware y comparto el internet del ISP con otra familia y quiero seguridad.

Leyendo acerca del tema encontré unas alternativas que me parecieron buenas, si alguien conoce mas o tiene una sugerencia distinta es bienvenida:

-IPFire es un firewall que no se que ventajas o características posee.
-pfsense entiendo que es un firewall bastante usado pero no se que limitantes o ventajas tiene.
-clearOS parece ser también un firewall gratis y no entiendo mucho mas ya que vi que tiene como funciones de pago.
-OPNsense parece ser otro buen firewall, que no entiendo si tiene funciones de pago.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.442
entre esas alternativas, pfsense y OPNSense son casi lo mismo: OPNSense es un fork de pfsense.

IPFire y ClearOS no los conozco así que no los podría recomendar (o recomendar jaja)

Pfsense tiene 2 modalidades de pago: una versión pfsense pro que incorpora algunas cosas que sólo una empresa ocuparía y la otra es comprar el hardware directo de ellos. Si no te interesa ninguna de esas dos opciones, entonces es gratis :)

OPNSense no conozco su modelo de ganancia así que tampoco puedo emitir una opinión. Creo que tiene una UI más bonita que pfsense pero eso sería todo en la base, todo lo demás viene directo desde pfsense. Cuando hay actualizaciones de seguridad, lo más probable es que primero se arregle pfsense y de ahí OPNSense. Lo bueno es que las actualizaciones de seguridad hay pocas, sobretodo si lo configuras bien.

Si quieres aprender, de todas esas opciones la que tiene mejor documetnación online es sin duda pfsense: hay video tutoriales, guías y en general su documentación está muy bien hecho, pero tiene tb muchas opciones avanzadas por lo que en un principio es difícil comprender del todo qué es lo que estás haciendo o para qué sirve cada cosa. Si hay opciones aún más avanzadas que no están en la UI, siempre habrá una forma de ingresarlas.

Si sólo quieres bloquear algunas webs sin tener que meterse a configurar la parte router que viene con pfsense, tb podrías echarle un miro a piHole, que hace básicamente de adblocker pero es bastante más fácil de usar que pfsense que tiene mil opciones distintas: sin embargo, con piHole no podrás obligar a tus equipos a usar un solo servidor DNS por ejemplo o bloquear tráfico entrante, cosa que pfsense sí va a hacer. (Y no menos importante: la forma predeterminada de trabajar de pfsense es bloquear TODO a menos que tu lo abres, por lo que de fábrica es seguro, a menos que tu la cagues).

Saludos.
 
Upvote 1

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.500
entre esas alternativas, pfsense y OPNSense son casi lo mismo: OPNSense es un fork de pfsense.

IPFire y ClearOS no los conozco así que no los podría recomendar (o recomendar jaja)

Pfsense tiene 2 modalidades de pago: una versión pfsense pro que incorpora algunas cosas que sólo una empresa ocuparía y la otra es comprar el hardware directo de ellos. Si no te interesa ninguna de esas dos opciones, entonces es gratis :)

OPNSense no conozco su modelo de ganancia así que tampoco puedo emitir una opinión.

Si quieres aprender, de todas esas opciones la que tiene mejor documetnación online es sin duda pfsense: hay video tutoriales, guías y en general su documentación está muy bien hecho, pero tiene muchas opciones avanzadas.

Si sólo quieres bloquear algunas webs sin tener que meterse a configurar la parte router que viene con pfsense, tb podrías echarle un miro a piHole, que hace básicamente de adblocker pero es bastante más fácil de usar que pfsense que tiene mil opciones distintas: sin embargo, con piHole no podrás obligar a tus equipos a usar un solo servidor DNS por ejemplo o bloquear tráfico entrante, cosa que pfsense sí va a hacer. (Y no menos importante: la forma predeterminada de trabajar de pfsense es bloquear TODO a menos que tu lo abres, por lo que de fábrica es seguro, a menos que tu la cagues).

Saludos.

Como lo hacen esas soluciones gratuitas con el bloqueo https o la inspeccion de https o solo es haciendo el deploy de los certificados ya puedes sin dramas?
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.442
Como lo hacen esas soluciones gratuitas con el bloqueo https o la inspeccion de https o solo es haciendo el deploy de los certificados ya puedes sin dramas?

Por limitaciones de hardware no inspecciono tráfico, sólo bloqueo via DNS. Si quieres puedes webear con certificados pero como yo lo uso para la casa no más (y una oficina con espacio para 20 personas), lo mantengo bien abierto. Sólo bloqueo tráfico via DNS (en la casa) y funciona bastante bien.

De todas formas, sé que Suricata y Snort pueden hacer mejor pega (hice un tiempo IDS sin IPS pero la CPU [un ARM] se iba a la mierda) y se mantienen constantemente actualizado. Los paquetes de actualización open-source si andan algo detrás de los de pago.

Saludos.
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.500
Por limitaciones de hardware no inspecciono tráfico, sólo bloqueo via DNS. Si quieres puedes webear con certificados pero como yo lo uso para la casa no más (y una oficina con espacio para 20 personas), lo mantengo bien abierto. Sólo bloqueo tráfico via DNS (en la casa) y funciona bastante bien.

De todas formas, sé que Suricata y Snort pueden hacer mejor pega (hice un tiempo IDS sin IPS pero la CPU [un ARM] se iba a la mierda) y se mantienen constantemente actualizado. Los paquetes de actualización open-source si andan algo detrás de los de pago.

Saludos.

Entiendo, parece mas simple, ahora en el caso de bloqueo x DNS, tienes categorias o tienes que ir bloqueando URL x URL.

Besitos vikingo
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.442
Entiendo, parece mas simple, ahora en el caso de bloqueo x DNS, tienes categorias o tienes que ir bloqueando URL x URL.

Besitos vikingo
En la máquina misma url por url (usa unbound por debajo), fuera de ella las puedes categorizar como quieras: en mi caso, estoy suscrito a una lista de ads, otra de malware y otra de protección para niños (la tablet de mi hija y la vlan de visitas por ejemplo está con esa lista, la vlan "filtrada" solo tiene predeterminado ads y malware, la vlan de administración de equipos de red no tiene nada, pero no hay clientes conectados a ella excepto ele quipamiento de red).

Sigue el mismo concepto de piHola de hecho y puedes ocupar las mismas listas ya que ambos funcionan con unbound por debajo de la UI.

Puedes agregar excepciones tb o activar / desactivar listas, yo la verdad lo configuré hace como 3 años y no lo he tocado desde ese entonces jajajaja no me acuerdo muy bien y puede que hayan cambiado un poco, pero la base debería ser lo mismo.

Saludos.
 
Upvote 0

xr1s

Pro
Se incorporó
22 Marzo 2021
Mensajes
815
Echale una mirada a NextDNS. Tienen plan gratuito hasta 300k peticiones.

Bloquea las peticiones DNS a las listas y/o servicios que tu elijas.

Lo ideal es tener un servidor DNS en la red, o en su defecto el router que redirija las peticiones (diria que la mayoria de los router domésticos hacen eso). +1 si atrapas peticiones a otros dns y rediriges.

en min caso, configurado en mikrotik + peticiones sobre https + redirijo petiones a otros dns (google, cloudflare, etc)

Testie con pihole y adguard en una VPS una vez, y aunque buenas opciones y log, la idea era con un plan 0 peso... y me mando a instalar en georgia-eeuu y el ping me subia su resto. Si me llega a sobrar un rpi o similar, lo vuelo a intentar local.
 
Upvote 0

neondunker

Badass goodguy :3
Reviewer
Se incorporó
31 Mayo 2006
Mensajes
4.832
Hola!

No he probado todas las opciones que diste, pero te puedo dar una mas por si quieres probar.

Sophos provee el mismo firewall que vende comercialmente de manera gratuita para usuarios. Tiene IPS, filtro web y todas las cosas de un firewall moderno. Creo que el unico modulo que no tiene activo es el 0-day.

Es gratuito para siempre para uso personal, pero esta limitado a 4 nucleos, 6gb ram lo que es mas que suficiente para uso casero.


Yo lo uso para la casa y es super decente.
 
Upvote 0

shoriishi

Miembro Regular
Se incorporó
9 Febrero 2023
Mensajes
84
Hola @unreal4u y @xr1s gracias por sus comentarios, no sabia lo de inspección de paquetes y su uso intensivo de CPU (requeriría un hardware potente para eso y no tengo las lucas para hacer una inversión en un hardware potente). Para el futuro si pienso ahorrar para poner un equipo de bajo consumo y por eso pido sugerencias a todos los que me puedan ayudar.

La opcion de nextdns la obvie, junto con opendns, en la casa habemos 2 familias y tengo un router con ddwrt, no tengo un equipo avanzado o con mucha potencia, no puedo usar opendns sin un pc prendido 24/7 para que actualice la ip publica y ahora estoy detras de CG-NAT, entonces por problemas de configuración y de conocimiento, lo mas facil es tener un equipo dedicado a hacer el bloquedo en mi red LAN.

Tengo un raspberry pi 3b+e intente pihole pero me pareció mejor Adguard Home, lo monte en un contenedor usando docker y uso portainer para gestionar mas fácil el contenedor, por defecto Adguar parece ser mas completo pero el cabro ya vio que puede configurar otros DNS, por internet circulan videos de como cambiar los DNS, no se es como hacer para forzar los DNS en los clientes y que no tengan internet si no usan el DHCP server de Adguard, por lo menos para tener un cierto control de momento.

No se si existe alguna mejor solución de forma momentánea antes de invertir en hardware dedicado para montar el firewall, por lo menos tengo que esperar unos 6 meses antes de hacer la compra.

Revisando en las configuraciones del router vi que se pueden apagar los radios en un horario lo que me facilita que no puedan hacer maldades en la noche o madrugada y tengan que dormir.
1678465573371.png


El problema es que los cabros ahora con internet pueden buscar tutoriales o formas de darle la vuelta a las pocas medidas que pueda tomar y por eso a futuro la solución parece ser un firewall y restringirles el acceso a datos móviles ya había intentado configúrales un DNS en el smartphone pero lo cambiaron y no duro mucho el intento de usar un dns local.
 
Upvote 0

neondunker

Badass goodguy :3
Reviewer
Se incorporó
31 Mayo 2006
Mensajes
4.832
Hola @unreal4u y @xr1s gracias por sus comentarios, no sabia lo de inspección de paquetes y su uso intensivo de CPU (requeriría un hardware potente para eso y no tengo las lucas para hacer una inversión en un hardware potente). Para el futuro si pienso ahorrar para poner un equipo de bajo consumo y por eso pido sugerencias a todos los que me puedan ayudar.

La opcion de nextdns la obvie, junto con opendns, en la casa habemos 2 familias y tengo un router con ddwrt, no tengo un equipo avanzado o con mucha potencia, no puedo usar opendns sin un pc prendido 24/7 para que actualice la ip publica y ahora estoy detras de CG-NAT, entonces por problemas de configuración y de conocimiento, lo mas facil es tener un equipo dedicado a hacer el bloquedo en mi red LAN.

Tengo un raspberry pi 3b+e intente pihole pero me pareció mejor Adguard Home, lo monte en un contenedor usando docker y uso portainer para gestionar mas fácil el contenedor, por defecto Adguar parece ser mas completo pero el cabro ya vio que puede configurar otros DNS, por internet circulan videos de como cambiar los DNS, no se es como hacer para forzar los DNS en los clientes y que no tengan internet si no usan el DHCP server de Adguard, por lo menos para tener un cierto control de momento.

No se si existe alguna mejor solución de forma momentánea antes de invertir en hardware dedicado para montar el firewall, por lo menos tengo que esperar unos 6 meses antes de hacer la compra.

Revisando en las configuraciones del router vi que se pueden apagar los radios en un horario lo que me facilita que no puedan hacer maldades en la noche o madrugada y tengan que dormir.
Ver adjunto 29529

El problema es que los cabros ahora con internet pueden buscar tutoriales o formas de darle la vuelta a las pocas medidas que pueda tomar y por eso a futuro la solución parece ser un firewall y restringirles el acceso a datos móviles ya había intentado configúrales un DNS en el smartphone pero lo cambiaron y no duro mucho el intento de usar un dns local.
Si tienes un firewall, puedes NATear cualquier consulta DNS hacia tu DNS preferido y se acabo el problema de que cambien el dns.

La verdad, la opcion mas completa es un firewall dedicado, hay varios dispositivos chiquitos y bajo consumo que puedes usar. Si no, un pc normal debajo de algun escritorio y te olvidas.
 
Upvote 0
Subir