Saludos bellera

Efectivamente cada regla tiene una opción avanzada que permite limitar las conexiones o puertos abiertos por host, en este caso se tendría que habilitar reglas asociadas a grupos o segmentos de usuarios…

Lo que quiero es que todo el tráfico por host(IP) de LAN que salga por WAN este limitado a 800 conexiones(puertos) máximo.

Tendría que crear una regla con:
1- Simultaneous client connection limit: ???
2- Maximun state stries per host: 800
3- Maximun new connections/per second: ???
4- State Timeout in seconds: ???

Lo que no se es que poner en los campos 1,3,4

Pedías limitar por usuario y el ejemplo de IPTABLES limita por IP, no por usuario

Pero entiendo que cada usuario tiene asignada una IP, para mi es lo mismo. IP=USUARIO
Si estoy equivocado corrígeme.

hola
como podria hacer para darle un usuario y un password a los que quieran ingresar a la red donde lo haria con que herramientas desde ya muchas gracias por sus respuestas

:) hola…  :)

es bueno que hayas resuelto el problema ingresando con https... pero si no hubieses podido aca unos tips:

1. si el sistema es instalado en disco duro entonces puedes conectar un monitor y un teclado con lo que observaras un menu en el que puedes resetear la clave del usuario root o admin del pfsense

2. si es un sistema embebido o uno instalado en disco duro pero con la tarjeta de video y puertos de teclado deshabilitados igual te puedes conectar con otro equipo por el puerto serial del equipo utilizando por ejemplo hyperterminal, al conectarte via puerto serial tambien veras el menu donde podras resetear la clave del admin o root

otra cosa importante realiza un backup de tu configuracion por si cometes algun error al manipular el pfsense

nota: con el reseteo de la clave de admin o root no se pierde la configuracion y reglas del pfsense

Ok, gracias por tus aportes…..
ahora volvi a hacer la prueba de velocidad en www.speedtest.net y se solucionó el problema..... voy a dejarlo un tiempo andando y si no me vuelve a pasar voy a suponer que era de las conexiones NTP, ojalá sea eso y no tenga más problemas.
Muchas gracias nuevamente

Saludos desde Viña del Mar, Chile

con respecto al m0n0wall ubicado en la otra red, este no tenia la opcion de ftp-proxy helper, pero me di cuenta de que tampoco era necesario, pues antes de poner el pfSense en la otra red no habia problemas con la conexión ftp.
Ahora pude hacer que funcionen las conexiones, lo que hice fue:

1°    borrar TODAS las reglas previas  que tenia respecto a conexiones FTP, tanto las creadas en Firewall –> Rules, como las que se  generaban automaticamente por el NAT --> Port Forward.
2°      en NAT --> Port Forward puse la siguiente regla:

WAN  TCP  21 (FTP) 192.168.1.XXX 21(FTP)  Desc:FTP entrante a servidor local

al poner este ip forward y aplicarlo a pfSense, me aparece debajo del campo de NAT IP, la dirección de la puerta wan del pfSense obtenida de mi ISP mediante DHCP.
Además al hacer esto pfSense me creó 2 reglas en Firewall --> Rules,  que son las q muestro a continuación:

TCP * * 192.168.1.XXX 21(FTP) * - Desc:NAT FTP entrante a Servidor Local

TCP * * Wan address 21(FTP) * - Desc:NAT FTP entrante a Servidor Local

Al hacer estos 2 pasos y aplicarlos al pfSense no tuve más problemas (hasta ahora) con las conexiones FTP a mi servidor local ubicado en la red LAN detrás de pfSense. Ahora tengo otro tipo de problemas que puse en otro post  :P :P :P .... respecto a pfSense y la velocidad de mi conexión.
Muchas Gracias a Bellera, y ojalá mi experiencia le pueda servir a alguien más....

Saludos desde Viña del Mar, Chile

Así es. Tengo la última versión estable y el asterisco indica las intefaces conectadas, es decir, con LINK.

hola bellera.

muchas gracias por tu interes y ayuda.

lo he podido solucionar parcialmente ya que funciona perfectamente pero solo a la ip que tengo espacificada en rules wan2 y en nat port forward.

hay alguna posibilidad de que se pueda abrir a un alias o rango de ip´s?

mañana lo intentare investigar.

muchisimas gracias, salu2

Gracias Josep

He logrado realizar esa configuracion mediante radius, el problema es que es necesario habilitar la parte de marcacion en los clientes y como se tienen habilitados los servicios de VPN, estaria dandole privilegios a todos aquellos usuarios que se encuentren en el AD por lo cual me gustaria realizar una conexion median LDAP sin necesidad de habilidar la opcion de marcacion en los usuarios

Aun asi agradezco mucho tu ayuda seguire buscando si alguien lo ha logrado

Saludos

¡Hola!

Para hacer túneles tienes IPSEC y OpenVPN en pfSense …

http://doc.pfsense.org/index.php/Tutorials
http://www.bellera.cat/josep/pfsense/openvpn_cs.html

Si en tu LAN tienes algún servicio SSH también puedes emplearlo para hacer conexiones tunelizadas:

http://es.wikipedia.org/wiki/Protocolo_tunelizado

En este último caso el túnel sería "independiente" de pfSense. Sólo tendrías que abrir tu servicio SSH a Internet.

Saludos,

Josep Pujadas

gracias josep voy a revisar las reglas luego comento

Hola nuevamente,

No me dejan realizar pruebas aún por que estan ocupando internet jajaja mientras les dejo algo extraño el syslogd esta vuelto loco tiene el procesador a full hace rato y eso pasa bien seguido… saludos mañana realizare mas pruebas ya no me dejaron hoy :P!!!

last pid: 69898;  load averages:  2.44,  2.21,  2.09                                                                                up 8+09:18:35  18:40:36
81 processes:  4 running, 77 sleeping
CPU states: 12.1% user,  0.0% nice, 79.0% system,  8.9% interrupt,  0.0% idle
Mem: 92M Active, 119M Inact, 56M Wired, 28K Cache, 41M Buf, 38M Free
Swap: 1024M Total, 20M Used, 1003M Free, 1% Inuse

PID USERNAME  THR PRI NICE  SIZE    RES STATE    TIME  WCPU COMMAND
40476 root        1 132    0  1440K  572K RUN    134.3H 83.15% syslogd
69758 root        1  -8  20 23104K 19012K piperd  0:01  2.07% php
1896 root        1  -8  20  2236K  984K piperd  7:43  0.00% sh
  818 root        1  4    0  3816K  1676K kqread  1:10  0.00% lighttpd
99025 root        1 -58  20  6424K  4228K bpf      0:58  0.00% tcpdump
55487 root        1  96    0  1776K  576K select  0:57  0.00% openvpn
99026 root        1  -8  20  1276K  588K piperd  0:47  0.00% logger
84372 proxy      19  20    0 15020K 11348K kserel  0:47  0.00% squid
  781 proxy      1  4    0  704K  284K kqread  0:36  0.00% pftpx
  831 root        1  4    0 24132K 19764K accept  0:29  0.00% php
1509 root        1  8    0  1720K  460K wait    0:25  0.00% sh
45172 root        1  4    0 23468K 19708K accept  0:24  0.00% php
  332 _dhcp      1  96    0  1468K  704K select  0:23  0.00% dhclient
  231 root        1  96    0  2808K  924K select  0:19  0.00% mpd
84455 proxy      1  96    0  1604K  1028K select  0:15  0.00% pinger
73461 nobody      1  96    0  1476K  1136K select  0:13  0.00% dnsmasq
56810 root        6  20    0  2048K  1152K kserel  0:08  0.00% slbd
24570 root        1  8  20  1272K  708K wait    0:05  0.00% check_reload_status
1214 root        1  8    0  1384K  412K nanslp  0:05  0.00% cron
73488 dhcpd      1  96    0  2280K  1900K select  0:04  0.00% dhcpd
1201 _ntp        1  96    0  1340K  508K select  0:03  0.00% ntpd
  829 root        1  4    0 24112K  8644K accept  0:03  0.00% php
34196 root        1  96    0  5800K  2544K select  0:02  0.00% sshd
1204 root        1  96    0  1376K  612K select  0:01  0.00% ntpd
1578 root        1  8    0  1268K  236K nanslp  0:01  0.00% minicron
34330 root        1  20    0  5680K  3576K pause    0:00  0.00% tcsh
69712 root        1  96    0  2444K  1628K RUN      0:00  0.00% top
  825 root        1  8    0 14924K  180K wait    0:00  0.00% php
66006 root        1  20    0  4844K  2756K pause    0:00  0.00% tcsh
  820 root        1  8    0 14924K    0K wait    0:00  0.00% <php>824 root        1  8    0 14924K    0K wait    0:00  0.00% <php>1590 root        1  8    0  1712K    0K wait    0:00  0.00% <login>282 root        1 118    0  1468K  500K select  0:00  0.00% dhclient
34257 root        1  8    0  1720K  1140K wait    0:00  0.00% sh
65958 root        1  8    0  1696K  1272K wait    0:00  0.00% su
65960 root        1  8    0  1696K  1272K wait    0:00  0.00% su
  313 root        1  20  20  2280K  1168K pause    0:00  0.00% top
65962 root        1  8    0  1728K  1148K wait    0:00  0.00% sh
34285 root        1  8    0  1728K  1148K wait    0:00  0.00% sh</login></php></php>

gracias, ahora tengo pensado instalar en virtualizacion ipcop para hacer proxy,teniendo como puerta de enlace pfsense

¡Hola!

Una regla en cada lado para cualquier protocolo, cualquier origen i cualquier destino (asteriscos).

Fácil es …

Saludos,

Josep Pujadas

¡Hola!

En www.bellera.cat/josep/pfsense/indice.html lo tienes bastante explicado …

Saludos,

Josep Pujadas

Hola de nuevo (y perdón por el retraso)!!

pues nada, pensaré otra forma. Muchas gracias como siempre Josep

¡Hola!

Tiene pinta de tener alguna restricción por IP en tu servidor Exchange. Probablemente no esté autorizado el acceso al servidor desde su propia red.

O bien un problema en la resolución de nombres. Tendrías que "tocar" el DNS (tanto en pfSense como en Windows 2000 o 2003 para que te resolviera el nombre del servidor a nivel interno (con la IP privada, no con la pública).

Espero haberme explicado …

Saludos,

Josep Pujadas

Hola Josep,

Muchas gracias por tu respuesta. Sí, ya había leído ese documento para armar las VPN pero no tiene información para realizar lo que estoy necesitando.

Intentaré postear en el foro en inglés.

Saludos,
Nahuel

¡Hola!

¿Reglas de cortafuegos para no ver páginas web? o ¿squid? No acabo de entender qué método empleas para filtrar páginas web.

Puede que si has puesto muchas restricciones, estés denegando el acceso al portal cautivo.

Saludos,

Josep Pujadas

Sí, sin embargo no mencionas las tarjetas de red, no todas son iguales. Las tarjetas más eficientes y también las más caras, requieren poco apoyo del CPU; las más baratas impondrán una carga mayor. Entre las mejores están las Intel Pro 1000, HP también tiene tarjetas similares.

Saludos.