Gracias por tu respuesta mira efectivamente todas mi red es windows licenciado, podrías decirme si estas usando usuarios autenticados con LDAP / AD o estas usando usuarios locales (esto es lo que yo uso).

Que tal a todos, los tengo en vilo.  :P

No he tenido tiempo para solucionar este problema,

Espero el día de hoy tener un espacio y reconfigurar el sevidor jabber ( que me da, que va por ahi el problema).

Hice un scaneo de puertos desde mi casa a la oficina y entre la lista de puertos abiertos están los de jabber, por lo tanto deduzco problema de configuración del servidor jabber.

De acuerdo a us ideas amigos, ya tengo creadas las vip es decir en la card wan em0 crie 5 ips publicas, y las dos vlans en la card em1 para asi tenerlas en segmentos diferentes.
Ahora que es mejor hacer port forward o nat para poder acceder desde LAN Y DMZ a las Vips.

Cordiales saludos.

para el bloqueo selectivo lo puedes hacer desde Proxy filter SquidGuard

En la pestaña Target categories crea un nuevo item, agregando un dominio a la lista(www.youtube.com).

En la pestaña Groups Access Control List (ACL), agregas un nuevo item
Especificas el cliente(IP) de la maquina que vas a bloquear; en Target Rules List debe aparecer el item que agregaste en Target categories, seleccionas denegar y guardas los cambios.

Con ese deberia quedar.

jajaja, ah, había que escribirlo :P, perdón, el no dormir bien si que me hace daño, muchas gracias y disculpas ptt :)

Me parece que portal cautivo debe de tener alguna opcion de idletimeout o algo parecido para que en el caso de que el usuario permanezca sin actividad el usuario o dispositivo sea desconectado.

De hecho lo tiene al igual que un hardtimeout que puede desconectar al usuario despues de x tiempo este o no haciendo algo :)

Puedes darle .. no se .. 10 mins y despues de eso cortarlo si no tiene actividad

suerte

Gracias por contestas amigo vifon, lo que estoy queriendo restringir es algunas paginas de redes sociales, o de vídeo como youtube.

Tengo un servidor con windows server 2012 en el cual estará instalado el SIAF (Sistema Integrado de Administración Financiera del Estado) a la cual algunas computadoras tendrán que acceder para hacer consultas.

Que otra cosa podria implementar para dar mejor estabilidad a la red considerando que el Internet no es tan rápido (de 1Mb a 2Mb).

Para dispositivos android , solo deberas de instalar el ciente de ovpn y bajar los certificados para poder crear la conexion.  Lo demas es casi de ingeniero "doble click"  :o

Han, cambiar el logotipo, por otro no problema, segurísimo, pero mordicar el suyo, no creo, pero bueno, a ver que te contestan :)

Saludos mi estimado es correcta su conclusion y a la misma vez importante señalar que el balanceo lo puede hacer antes de pfsense tanto por hardware (Un equipo especifico balanceador) o software incluyendo otro pfsense. Claro esto hay que analizarlo bien por esto de los servicios publicados en internet y que pfsense de cara a clientes quedaria con dos rangos ip privados tantos en wan como en lan

Saludos estamos a la orden

Buenas, yo he seguido el video y lo que esta en el foro pero no funciona, bajo la wan1 y chau dejo de navegar, aclaro que tengo proxy no transparente squid3, puede ser por eso? si es asi como lo soluciono porque esa parte no encuentro en ningun lado o es que no se puede hacer?
lo quiero lograr es balanceo, en el caso de falla de algun enlace fail over, y proxy no trasparente. es muy loco lo que quiero realizar

Saludos mi estimado bellera creo que habia formulado mal el planteamiento del problema debido a que al realizar pruebas en pfsense note que estaba colocando marcas cuando necesito es indentificar una marca en especifico de paquetes que envia squid desde la cache Estos normalmente estan marcados como "X-Cache: HIT" en su cabecera habra forma de que pfsense reconozca esta marca?? veo que la parte posterior a la que me indicaste la cual posee esta descripcion "You can match packet on a mark placed before on another rule" y no se si sera posible mediante esta el reconocimiento de dichos paquetes.

Desde ya agradecido de su opinion.

Cabe destacar que si logramos hacer esto se podria crear un sistema con burst para envios de cache a toda velocidad a los clientes que asi decidamos.
Ademas acoto para aquellos que estan usando traffic shaper o portal para regulacion de ancho de banda en pfsense que existe un metodo que actualmente estoy probando que hasta ahora es muy exacto y trabaja super bien apenas tenga conclusiones cuelgo esta solucion

Saludos a todos
Alfredo Goitia

Hola , los limiters los puedes aplicar por direccion IP o por red o subred completas.

hice un esquema de la red como la estoy configurando, me gustaría que ustedes que están un poco mas en el tema me dan su opinión, disculpen tantas preguntas pero es que me interesa mucho poder llegar a mejorar la red y que quede lo mas optima posible

esquema_red.png
esquema_red.png_thumb

gracias, lo puse en modo no trasnparente, pero ahora no me toma los usuarios creados en local del proxy, y tampoco me funciona el wpad despues de haber seguido el tuto que esta el sitio