¡Hola!

no logro de entender como hacer trabajar el el pfSense con el Squid (para hacer cache) y filtrar los contenidos con el SquidGuard. He revisado tu excelente manual pero no tienes ningún apartado que hable del SquidGuard. Si tienes algún enlace para que pueda ojear te lo voy agradeciendo desde ya (si está en castellano doblemente agradecido)

Como prestación adicional, pfSense LiveCD permite (una vez instalado en disco duro) la adición de paquetes FreeBSD especialmente ajustados para pfSense. Entre ellos está squid. No estoy seguro que esté squidguard. squid permite tener una cache y realizar algunas funciones de filtrado. squidguard es un redireccionador para squid, que permite hacer filtrado de una forma más potente. Existen otros redireccionadores para squid, como dansguardian.

El squid que lleva pfSense está bien para una primera aproximación a este popular servidor proxy, pero si quieres tener una cache potente con un filtrado ajustable, análisis de accesos, etc, etc hay que pensar en montar una solución a parte de pfSense.

En el tutorial no hablo de paquetes porque lo hice en base a las primeras configuraciones del pfSense que tengo en producción y este es Embedded, sin paquetes.

La web oficial de squid es http://www.squid-cache.org y la de squidguard http://www.squidguard.org

Hay mucha documentación en la red, también en castellano. Sólo hay que buscarla, con Google. Un problema importante es que mucha de la documentación se refiere a versiones antiguas y la 2.6 actual tiene algunas diferencias, todas ellas bien explicadas en squid.conf …

Si no quieres complicarte, hay una empresa que ofrece un squid + squidguard empaquetado en versiones libres y comerciales: http://www.safesquid.com/html/portal.php?page=126 No conozco el producto pero tiene buena pinta ...

Saludos,

Josep Pujadas

hola buen dia quisiera saber como bloqueaste el p2p por horarios agradeceria una informacion detallada de como lo hiciste gracias ya que lo vi en tu configuracion y como haces para meter los alias en las reglas de corta fuegos cualquier informacion visual estare agradecido

Yo tengo el mismo problema. Tampoco he conseguido que las STICKY CONNECTIONS funcionen correctamente.

Una solucion temporal, consiste en crear una RULE previa a la del balanceo de carga HTTP, y que controle las conexiones seguras HTTPs, etc, para que se le asigne siempre la misma puerta de enlace, dejando el resto de navegacion al balanceo (otra RULE podria controlar la IP de destino y encaminar en consecuencia).

El balanceo en HTTP en ciertas paginas con inicio de sesion en las que el servidor controla el origen de las peticiones probocan estos errores.

Saludos.

:(  bueno, muchas pruebas y nada, con la version que me recomiendas bellera y nada… sigue dando ese mensaje de supuesto error, ya tengo 2 equipos operativos, vamos a ver como se portan, aun asi postee el caso en ingles    :-\  ...

hasta luego...

sep, creo que me mande un bardo jajaj
veo mejor y posteo
tnx

¡Hola!

coloque como primer dns la ip del pfsense, y dns secundaria una de las dns del proveedor, este ultimo funciona, lo que no se es como agregar los otros dos dns del proveedor en el dhcp server…

En la interfase web sólo se pueden poner dos en [System] [General Setup]. Los dos tienen que ser fuera de pfSense, no hay que poner la IP de pfSense. Por tanto, puedes meter ahí los DNS externos, de tu ISP, hasta que no tengas un DNS propio (si lo quieres).

Para tener más DNS externos tienes que guardar config.xml en un ordenador, copiarlo y editarlo:

<dnsserver>AAA.AAA.AAA.AAA</dnsserver>
<dnsserver>BBB.BBB.BBB.BBB</dnsserver>
<dnsserver>CCC.CCC.CCC.CCC</dnsserver>
<dnsserver>DDD.DDD.DDD.DDD</dnsserver>

para después volverlo a cargar …

La edición de config.xml es un truco que permite meter cosas no previstas en la interfase web. La pega es que significa el reinicio del cortafuegos y que si modificas la sección correspondiente con la intefase web pierdes los cambios realizados por este método.

En el DHCP server no es imprescinbible poner DNS. Tal como dice "NOTE: leave blank to use the system default DNS servers" si no se pone nada se emplean los definidos en el sistema. Si quieres meter más igual se puede hacer con el truco config.xml. Pero yo no tengo ninguno puesto, con unas 200 máquinas por DHCP ...

los wins no los estoy utilizando

WINS sólo es necesario en caso de emplear Samba/CIFS en varias subredes. Como el protocolo de compartición de archivos (el entorno de red) de Microsoft no es enrutable WINS permite "ver" los servicios Samba/CIFS que están en distintas subredes.

si deseo montar un dns aparte cual me recomiendas?

Yo siempre he usado named (bin9) ya que con FreeBSD viene por defecto y sólo hay que activarlo y crear las zonas:

http://www.freebsd.org/cgi/man.cgi?query=named&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&format=html

http://www.isc.org/index.pl?/sw/bind/index.php

Saludos,

Josep Pujadas

byrpa,

porque el navegador esta tratando de usar dinamicamente el puerto 1926, ese esta bloqueado

No. El cierre de puertos dinámicos se refiere a puertos de destino, no de origen. Por favor, mírate bien:

http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra

En origen no se corta nada, se permite todo. Es en destino que sólo se permiten una serie de puertos. Los clientes abren los puertos automáticamente (en origen) para ir a un puerto de destino concreto. Por ejemplo, si van a un servidor web van normalmente al 80, en destino.

Basta con que en una máquina Windows emplees la orden netstat para ver lo que te estoy diciendo … No te asustes, porque verás muchas conexiones entre la propia máquina (es normal).

hay alguno que otro usuario que me ha dicho que a veces entran normal a las paginas y despues esas mismas paginas ya no las pueden acceder

Tiene pinta de problemas de resolución DNS. Testea bien desde los clientes empleando nslookup. Verifica también con ipconfig qué servidores DNS tienen configuradas las estaciones.

ademas que en el log hay peticiones en los puertos 137
Nov 27 13:22:28 LAN 192.168.0.15:137 192.168.0.255:137 UDP
y son mucho, no se, si puede haber un spyware o algo parecido en las pcs, aunque tengo mi servidor debian, uso samba, pero no sale nada a internet, es solamente en servidor interno.

Es normal. Toda red Windows emplea 137 UDP para su "master browser". Esto quiere decir que hay siempre una máquina que se erige como "examinador de la red" y envía broadcast (dirección 255 del rango de IPs) para confeccionar la lista de equipos en funcionamiento. Es decir, sin esto no existiría "Equipos próximos" en las máquinas Windows. Para no ver esto en los logs te bastará con poner una regla de bloqueo de LAN a LAN para el puerto UDP 137. Así no molesta en los logs. Como la interfase LAN pertenece al rango lógicamente recibe los broadcast.

sanchezluis,

ahora como modifico esta regla "por defecto"?

Es la que ejecuta al final de todas las que pongas, como seguridad. Por defecto todo está denegado. Todas las reglas que pongas se ejecutarán antes que la default. Entiendo pues que no hay necesidad de meterse a modificar la default, entre otras cosas porque sería "salirse del guión" de la interfase gráfica.

como habilito ver el log de las reglas creadas por el usuario como tu comntas en el post?

Fácil. Fíjate que cuando estás editando una regla hay una casilla de "Enable login". ¡Ojo! En sistemas embedded no es recomendable, ya que las CF (Compact Flash) tienen una vida limitada en cuanto a escrituras; a no ser que se emplee un servidor de logs externo -cuestión prevista-. En disco duro ningún problema.

¡¡¡¡De nada!!!!

Saludos,

Josep Pujadas

@sanchezluys:

Saludos…  8)

Mi caso al igual que a ustedes el ancho de banda que ofrece la compañia no es igual al medido por el pfsense y otros software para estos fines (realizando la medicion con un solo pc conectado al ADSL)

para este caso en dos puntos diferentes con una conexion por contrato de 1Mbits/s  realmente lo maximo en la realidad es 902 kbits/s  es decir en ambas mediciones el valor real es 100kbits/s menos aproximadamente.

Se tiene programado subir la velocidad a 1.5 Mbits/s en ambos puntos cuando esto se haga les comento el resultado de las pruebas...

Hola a todos…

se realizó el cambio a 1.5M (1536 k) y se en las mediciones realizadas se noto de nuevo que esta por debajo de la ofrecida por el proveedor... en este caso el mayor valor es 1.3M es decir 0.2 M por debajo...  :-\  >:(

hola
tengo un proxy tranparente y queria que todo vaya al proxy menos una ip.
en pfsense no encontre como hacerlo, la unica forma que encontre es armar
un script que me cambie la regla:

rdr on dc1 inet proto tcp from any to any port = http -> 192.168.1.1 port 8080

por

rdr on dc1 inet proto tcp from { !192.168.1.150 } to any port = http -> 192.168.1.1 port 8080

quedo asi:

#!/bin/sh #el sleep es para que cargue el pf y lo pueda modificar /bin/sleep 120 PFDEFAULT="/root/pf/pf.default" PFTEMP="/root/pf/pf.temp" PFNEW="/root/pf/pf.new" #busco las reglas nat -> pf.default /sbin/pfctl -sn > $PFDEFAULT #rdr on dc1 inet proto tcp from any to any port = http -> 192.168.1.1 port 8080 -> CHANGERDR /usr/bin/sed 's/rdr\ on\ dc1\ inet\ proto\ tcp\ from\ any\ to\ any\ port\ \=\ http\ \-\>\ 192.168.1.1\ port\ 8080/CHANGERDR/' $PFDEFAULT > $PFTEM #CHANGERDR -> rdr on dc1 inet proto tcp from { !191.168.1.150 } to any port = http -> 192.168.1.1 port 8080 /usr/bin/sed 's/CHANGERDR/rdr\ on\ dc1\ inet\ proto\ tcp\ from\ \{ \!192.168.1.150\ \}\ to\ any\ port\ \=\ http\ \-\>\ 192.168.1.1\ port\ 8080/' $PFTEMP > $PFNEW #flush nat /sbin/pfctl -F nat #new NAT rules /sbin/pfctl -Nf $PFNEW

en el crontab -e

@reboot /bin/sh /root/pf/modif

si, ya se, mucho quilombo, pero es la unica forma que encontre
espero que sirva.
saludos

Hola…  8)

yo te recomiendo que no habilites el squid en el pfsense, es demasiado inestable, en todas las pruebas que he realizado no ha superado mis espectativas, mejor probar instalandolo en otro equipo aparte...

Perdona por no contestar, pero no habia podido ingresar por motivos de tiempo, en los post anteriores subi toda la configuracion que tenia mi pfsense, el cual ya trabaja bastante bien, excepto por el correo webmail de una empresa local, pero se resolvio mandando el trafico por uno de los routers, sin balanceo.

Cual es tu problema para ver si te puedo ayudar en algo, que es lo que no te funciona?

¡Houston, tenemos un problema!

La solución es (al parecer) hacer un downgrade de tu BIOS:

http://forum.pfsense.org/index.php/topic,6729.msg38379.html#msg38379

Saludos,

Josep Pujadas

Como dijo un amigo, la reglas son importantes, pero no lo son todo, tambien hay que hechar un ojo al NAT y habilitar el rango ip de tu nueva Lan, de lo contrario seguira sin navegar …

Firewall: NAT: Outbound

Saludos

Me parece interesante, pero no entiendo nada, habra por ahi algun tutorial para utilizar este sistema???? ???

Un Saludo…

Marcos, no se puede instalar otra version, ya que pfsense no trae compilador (aunque hay un paquete para development pero yo no lo he probado) y para lo que quieres es necesario tambien mysql, php, apache, perl y muchos otros,  y  como no podes usar los ports (no se puede en pfsense) al final se arma un lio con las dependencias instalando todo eso a puro paquete y te queda una ensalado con errores por aqui y por alla.
Mejor instala en una maquina freebsd (o linux o el unix que  tu sepas manejar) aparte dedicada para ello el freeradius y dale soporte para mysql, por supuesto tambien necesitas mysql-server y php y apache y perl ,etc ,etc, luego configuras pfsense para autenticar el CP contra un radius externo.
Resumen: tenes que conocer mas o menos bien como configurar e integrar todas esas herramientas, lo que quieres no es algo sencillo, ni mucho plug and play  :)
Por si te interesa date una vuelta por este link http://sourceforge.net/projects/phpmyprepaid/
saludos

A mi me aparece en Services -> Proxy Server

¡Hola!

Tiene que reconcerla con sólo volver a arrancar. Tendrás que configurarla como OPT1 (con el configurador web) y después puedes darle el nombre que quieras (LAN2, WAN2, …)

Saludos,

Josep Pujadas

Hola a todos, revisando las opciones en un 1.2rc3 encontre la opcion para que no sean necesarias las reglas lan - lan:

System -> Advanced -> Miscellaneous -> Static route filtering

Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

lo activas y volia, ya no son necesarias las reglas de lan - lan
Saludos

¡Hola!

No parece previsto el multiwan para dyndns.

He buscado dyndns en http://forum.pfsense.org y las soluciones que dan es emplear un cliente dyndns en uno de los ordenadores de la red.

Igual la configuración de tu cablemodem lo permite. Hay muchos dispositivos de conexión a Internet que llevan esta prestación. En casa yo lo tengo puesto en mi router ADSL, en lugar de mi pfSense.

Saludos,

Josep Pujadas