💻 Tecnologia

Firewall pfSense: guida base per iniziare

pfSense trasforma un PC o un mini-server in un firewall professionale gratuito. Ecco come funziona, l'installazione e le configurazioni di base da impostare subito.

Redazione Velix10 giugno 20268 min di lettura
💻

Quando il router fornito dall'operatore non basta più — perché servono VLAN serie, regole di firewall granulari, VPN robuste o un controllo del traffico che le interfacce consumer non offrono — pfSense è la risposta più diffusa. È un firewall e router software basato su FreeBSD, gratuito nella versione Community Edition, che trasforma un hardware modesto in un apparato di livello professionale.

Cos'è pfSense e quando ha senso

pfSense è una distribuzione dedicata al networking: stateful firewall, NAT, routing, VPN (IPsec, OpenVPN, WireGuard), QoS, captive portal e un sistema di pacchetti aggiuntivi (pfBlockerNG, Suricata, HAProxy). Si gestisce interamente da interfaccia web.

Ha senso adottarlo quando:

  • Servono più di una VLAN con regole di traffico distinte tra segmenti (es. rete ospiti isolata, IoT separato, LAN aziendale).
  • Vuoi una VPN site-to-site o road-warrior affidabile e configurabile nel dettaglio.
  • Ti serve filtraggio avanzato: blocco per geolocalizzazione, liste di reputazione, IDS/IPS con Suricata.
  • Gestisci una piccola rete aziendale e vuoi logging, failover WAN multipla e bilanciamento.

Per la sola navigazione domestica è sovradimensionato; per chi gestisce reti con esigenze reali di segmentazione e sicurezza, è uno standard.

Requisiti hardware

pfSense è leggero. Per una linea fino a 1 Gbps bastano:

  • CPU x86-64 dual core (un Intel N100 o un vecchio i3 sono più che sufficienti)
  • 4 GB di RAM (8 GB se userai Suricata o pfBlockerNG con liste grandi)
  • 16+ GB di storage, preferibilmente SSD
  • Almeno 2 interfacce di rete: una WAN, una LAN. Le appliance dedicate (Netgate) o i mini-PC con più porte 2.5GbE sono l'ideale.

Evita le NIC Realtek economiche per carichi alti: le Intel sono molto più stabili sotto throughput sostenuto.

Installazione

  1. Scarica l'immagine installer dal sito ufficiale (versione CE) e scrivila su una chiavetta USB con Rufus o dd.
  2. Avvia dal supporto USB e segui l'installer testuale: scelta del disco, filesystem (ZFS consigliato), riavvio.
  3. Al primo boot pfSense assegna automaticamente le interfacce. Se non le riconosce correttamente, assegnale a mano indicando quale NIC è WAN e quale LAN.
  4. La WAN prende un IP via DHCP dall'operatore; la LAN ha di default 192.168.1.1.
  5. Collega un PC alla LAN e apri https://192.168.1.1. Credenziali iniziali: utente admin, password pfsense.

Il wizard iniziale ti guida su hostname, DNS, fuso orario, configurazione WAN e cambio password — da fare subito.

Le configurazioni base da impostare

1. Cambia la password admin

Ovvio ma fondamentale. E disabilita l'accesso alla web GUI dalla WAN se non strettamente necessario.

2. Regole firewall sulla LAN

Di default pfSense applica un default deny in ingresso sulla WAN (nessun traffico non sollecitato entra) e una regola allow all in uscita dalla LAN. È un buon punto di partenza. Quando aggiungi VLAN, ricorda la logica: le regole si valutano sull'interfaccia da cui il traffico entra nel firewall, dall'alto verso il basso, e la prima che fa match vince.

3. Segmentazione con VLAN

  • Crea le VLAN sotto Interfaces → VLANs, assegnando i tag 802.1Q.
  • Assegnale come interfacce e attiva DHCP separato per ciascuna.
  • Scrivi regole che impediscano alle VLAN di parlarsi tra loro quando devono restare isolate (es. rete IoT che non deve raggiungere la LAN principale ma solo Internet).

4. DNS e resolver

Attiva il DNS Resolver (Unbound) e valuta l'inoltro verso resolver con DNS over TLS per la privacy. Con pfBlockerNG aggiungi blocklist DNS per pubblicità e domini malevoli a livello di rete.

5. VPN

Per l'accesso remoto, WireGuard è oggi l'opzione più semplice e performante: si configura come tunnel, si aggiungono i peer e si scrive la regola firewall che permette il traffico sull'interfaccia WireGuard. OpenVPN resta valido dove serve massima compatibilità.

6. Backup della configurazione

Da Diagnostics → Backup & Restore esporta l'XML della configurazione. È l'unica cosa che conta: in caso di guasto hardware reinstalli pfSense e reimporti il file, tornando operativo in minuti. Fai backup dopo ogni modifica importante.

Errori comuni da evitare

  • Dimenticare la regola firewall dopo aver creato una VPN o VLAN: il tunnel sale ma il traffico viene bloccato perché manca la regola di allow sull'interfaccia relativa.
  • Lasciare la GUI esposta sulla WAN: superficie di attacco inutile.
  • NIC Realtek su linee ad alta velocità: throughput instabile e drop sotto carico.
  • Nessun backup: una configurazione complessa persa è ore di lavoro.

In sintesi

pfSense offre gratuitamente funzionalità che sui router consumer non esistono o sono limitate. La curva di apprendimento sta soprattutto nel modello di valutazione delle regole firewall e nella gestione delle VLAN, ma una volta interiorizzata la logica "regola sull'interfaccia di ingresso, prima corrispondenza vince", il resto è lineare. Parti da un'installazione pulita, imposta subito password, segmentazione e backup, e aggiungi pacchetti come Suricata o pfBlockerNG solo quando la base è solida.

Vuoi portare Velix a casa tua?

Verifica la copertura FTTH al tuo indirizzo in 30 secondi. Gratis, senza impegno.

Verifica copertura →
← Torna al blog