Buen día Claro que sí, la reglas se leen de arriba hacia abajo, siempre y cuando los gateway estén bien configurados, y las reglas también, no tendrán ningún problema.

Yo utilizo OpenVPN y una cuenta noip free. https://forum.pfsense.org/index.php?topic=23409.0 Saludos.-

??? Y por que piensas que debes utilizar una IP estática en la WAN, y No dejarla en DHCP ? https://forum.pfsense.org/index.php?topic=23265.0 https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

hasta donde se debe crear: una que permita resolución DNS puerto 53 una regla que rechace http y https una que envie todo su trafico de LanNet al puerto 3128 Squid aplica para http y https otros protocolos deben tener reglas independiente (ICMP, RDP, SQL, FTP…) Squidguard Le permite filtrar categorías como redes sociales, news, shop... ETC Al habilitar proxy transparente, debe configurar man in the middle para el filtrado HTTPS, esto hace que requiera certificados y paginas como google lo consideran un riesgo de seguridad, lo que dificulta su correcta implementación como esta iniciando le sugiero usar PFSENSE como servidor de WPAD revirtiendo GUI a HTTP espero lo anterior le sea de ayuda

la solucion es cofigurar el dns que tienes publicado a internet como un  Authoritative-only Name Server, es decir que no haga recursion y solo responda a tu dominio. que otros sevidores pregunten por dominios que no son administrados por ti es un error de configuracion y te puede llevar a ataques de DDOS asi que mucho ojo al configurar un servidor publico.

es trabajoso pero facil tienes que seleccionar las interfaces en donde va a escuchar bind: eso esta en los settings de bind el cuadro de selección listen all luego te recomiendo habilitar response rate limit y en custom options pones algo asi: allow-query-cache { any; localnets; }; allow-recursion { localnets; }; recursion no; con esto haces que se pueda consultar la cahe dns para aumentar la velocidad de las respuestas y a la ves le dices que no pregunten por nadie mas que por ti y que sólo tu red interna puede preguntar por otros tambien activa Forwarder Configuration y pon los dns de tu ISP o los que quieras usar como consultores de dns (ojo con la sintaxis: van separados por ; y terminan en ; igual) luego en el apartado views crea una nueva seleccionas recursion no match-clients any y localnets allow-recursion solo localnets y pon esto tambien en Custom Options allow-query-cache {localnets; }; así te aseguras que ese view solo sirva a tu propósito (recursión desde dentro, visible para todos) luego crea tus zonas y asígnales ese view creado y ya estás listo para servir de dns externo te recomiendo también firmar tus zonas : para eso en DNSSEC activa Inline Signing y pfsense se encarga del resto así lo hice yo y me resulta bien hasta hoy, espero que a ti te sirva igual

Buen día Según lo que dices de que no es transparente, puede ser un bug, instala otra máquina y recrea el escenario y prueba si pasa lo mismo. Aunque primero postea la configuración que tienes de squid. Saludos

Buen día Con el firewall no es posible, ya que el firewall no controla aplicaciones, lo que te sugiero es que independices servicios web

Ok lo probare y te comento muchas gracias por la orientacion

Dices que tienes 3 Interfaces físicas ( 3 tarjetas de RED) Si tienes 3 tarjetas, para qué quieres VLAN ?? Tarjeta 1: WAN Tarjeta 2: LAN 192.168.1.0/24 Tarjeta 3: LAN2: 192.168.20.0/24 Las VLANs se utilizan sobre una sola tarjeta.

Buen día Pues debes hacerlo a través de reglas de firewall, específicando en las opciones avanzadas de las reglas el default gateway, también debes especificar las IP de origen que las puedes agrupar en un Alias, tener en cuenta que también debes abrir los puertos necesarios y si son varios con un alias te ahorras mucho trabajo.

Bueno pues al final resolví el misterio. Por lo visto están los logs normales. El tráfico que bloquea es normal. Lo saqué de aquí: https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection Por lo tanto asunto resuelto.

Si sabes los puertos que usan las aplicaciones entonces debes añadir reglas en el Firewall En Firewall / Rules / La Wan que desees , añades el puerto deseado a la wan que deseas que salga por defecto Anteriormente puedes añadir Alias, por ejemplo creas al Alias: programa_xxx Al cual le asignas los puertos 443, 80, 25 Luego en vez de usar 3 reglas, una para cada puerto puedes usar una sola llamando al alias: programa_xxx O crear un alias para identificar una IP a una maquina y luego creas las reglas con nombres en vez de numeros. Saludos

en tus reglas de firewall de docente… Le estas diciendo que toda la RED de Docentes puede salir por el puerto 80 por donde quiera, esa regla debe estar bloqueada al igual que el puerto 443 te dejo una foto de unas de mis redes que sale por proxy No trasparente [image: fw_rules_CC.PNG] [image: fw_rules_CC.PNG_thumb]