Prueba…

Firewall / Rules / Edit
Extra Options
Advanced Options [Display Advanced]
State type: Keep  <–-- Cambiar Keep por Sloppy

Debe quedar así:
State type: Sloppy

Prueba y comentas...

Saludos

@nakhane:

Buenos días

Probé la segunda opción que me dijiste y sigue saliendo el mismo error de certificado, solo pasa en páginas https, el resto de las páginas funciona correctamente.
Volví a crear otro certificado y obtengo el mismo resultado

Un saludo y gracias de antemano

Esto no es un error, es un mensaje de advertencia, si tú eres el "dueño" de sa.com, entonces cómprate un certificado de alguna autoridad reconocida por tu navegador y Sistema Operativo.

Si conoces sa.com, y confías en su contenido, puedes añadirlo como una excepción, como te lo sugiere el navegador.

Recomendadión: Leer

https://es.wikipedia.org/wiki/Certificado_digital
https://www.symantec.com/content/es/…/b-beginners-guide-to-ssl-certificates_WP.pdf
ldc.usb.ve/~figueira/Cursos/Seguridad/Material/PKI-gmoline.pdf

Saludos

@yraul:

Leistes este post

https://forum.pfsense.org/index.php?topic=48622.msg455154#msg455154

si… pero no entiendo nada  :o

creo que en las nuevas versiones no hay nada de ftpproxy no?

yo por lo menos no tengo nada de eso activado, solo tengo las reglas, que permiten acceso por el puerto 9029-9030 a la ip del servidor, que tambien permita 20-21 a al servidor ftp, y en el nat redirecccionado lo que llega por los puertos 9029-9030 a la ip del ftp, nada mas

tengo otro firewall con un ftp detras y me funciona bien...y he hecho lo mismo en los 2

que significa el error que me esta saltando?

Hola

¿Habeis intentado hacer spoof de la mac de la interfaz WAN (cambiar la mac-address de la interfaz)?. Puede que el meollo esté en la asociaión de la mac a esa IP … por aventurar una posibilidad.

Interfaces > WAN > MAC controls

This field can be used to modify ("spoof") the MAC address of this interface.
Enter a MAC address in the following format: xx:xx:xx:xx:xx:xx or leave blank

Salu2

Prueba con la versión "NanoBSD" (en un pendrive)

Prueba, instalando en otra PC (quita el HD, conéctalo a otra PC, instala, y luego vuelve el HD a esta PC)

Prueba si "Funciona" con  FreeBSD 10.3

Hola

pfSense 2.3 es FreeBSD 10.3.

Lista de compatibilidad de HW
https://www.freebsd.org/releases/10.3R/hardware.html

Más info:

https://forum.pfsense.org/index.php?topic=23685.0

Salu2

Interesante, yo tambien quisiera hacer ello. Avanzaste algo estimado Senderosgg .. saludos de Peru.

Hola

Literal: "Invert match" <=>"Invert the sense of the match" <=> Invertir la coincidencia o el sentido de la coincidencia

Es la negación o el contrario de "algo", por ejemplo en una regla del firewall:

Permitir icmp con (source) origen la LAN y destino any ( * cualquier destino)

IPv4 ICMP echoreq LAN net * * * * none   ICMP echo request

Si marco, en la sección Source (origen), "invert match", se permitirá cualquier origen menos la lan (invierto la condición)

Y aparece el signo "!", en la regla, indicando que se invierte esa condición

IPv4 ICMP echoreq ! LAN net * * * * none   ICMP echo request

En ciertos lenguajes de programación el signo !, se usa para negar o invertir:

Si (a=b) entonces comando1 .. # si a igual que b entonces comando1
Si !(a=b) entonces comando2.. @ si a no es igual a b entonces comando2

Por ejemplo en PHP, distinto que, es !==

if (strpos($plataforma, "RELENG_2_3") !== false))

{
    $laplataforma = "pfSense 2.3";

}

Otro ejemplo con pf

Permitir Bloquear conexiones ssh en interfaz em0 desde la red de em0 si no es la IP 192.168.0.15, es decir que a 192.168.0.15 se le niega permite ssh y se niega permite a las demás

pf block return in quick on em0 proto tcp from ! 192.168.0.15  to em0 port ssh

Un claro ejemplo de "invert match" (permitir o denegar a todo lo que no sea definido despues del signo ! )

Salu2

Hola

Aleximper, he corregido lo de que MPLS trabaje en capa 3 y 4, es 2 y 3, los nºs a veces bailan :)  … gracias.

Lo que sí tengo claro es que MPLS es el sustituto a FrameRelay (por lo menos esa es la tendencia de los ISPs)

Salu2

se ha tocado este tema en muchas ocasiones dale al search ahí esta la respuesta.

Saludos.

Hola

Finger, jaja, no, maestro no,  parado, tengo tiempo :)

Salu2

como estoy empezando en esto de los firewalls no se lo que es un firewall de borde la idea de los firewalls es para implementar la seguridad en la red y hacer QoS de ancho de banda con el mismos.
los servicios los corro dentro en la dmz con un cluster de proxmox donde tendre los principales servicios , dns, ntp, squid, correo jabber entre otros.

Jose, MARAVILLOSO! Era tan simple como agregar por encima de la regla q aplica el Limiter otra regla dejando pasar el trafico del puerto 3128 del squid y funciono!. Lo estoy probando y por ahora va bien.

Le doy unos dias de prueba y luego lo cierro.

Gracias por la ayuda.

Saludos.

CONFIRMO SOLUCION.

Hola, no se si es muy ortodoxa o decididamente mala la forma pero yo lo solucione creando una regla en donde a todas esas paginas que necesiten auth y rechace sesion salga por un gateway unico (no balanceado), AFIP la tengo en esa lista como la de algunos bancos que sus auth exigen dialogo con una misma IP dentro de la sesion de usuario iniciada.

Slds.

¡¡Muchas gracias!!, en cuanto pueda me pongo a ello.

¡Un saludo!

Gracias, era conflicto con el cache, ahora funciona todo bien

Agradesco qrealmente el apoyo la ayuda y las idea gracias muchachos.
Paso en limpio la idea y hasta quizas me den alguna idea mejor que lo que intento.

*******                                                                                                 
  * PF      *–-LAN1 red de la empresa integrada con AD---tres tipos de usuarios 1 no navega                                           
  *          *                                                                                                            2 navega con restricciones
  *          *                                                                                                            3 navega sin restricciones
  *          *                             
  *          *---LAN2 portal cautivo---un solo tipo de usuario---posiblemente con las mismas                                           
  *******                                                                              restricciones que el usr2 de lan 1

Los usuarios del portal cautivo deberian ser anonimos no asi los de la lan1 dado que por usuario es que se aplican las restricciones. A tener encuenta que deberia ser por usuario dado que no siempre se usan los mismos puestos de trabajo y se acostumbraron a usar microsoft ISA por lo que no les gusta que para navegar pida usr y pass. De estas cosas se desprende que buscaba una manera de lograrlo.
Yraul te agradesco cualquier mano que puedas darme al igual que a todos los que vienen dedicandome tiempo para lograrlo.

Muchas gracias de verdad

S.C.