Saludos mi estimado vendria bien conocer donde tienes ubicado el servidor de correos??? veo que realizas unos nat que podrian ser la falla del inconveniente con esto.

Estamos a la orden

Saludos mi estimado segun entiendo usted esta hablando de reglas de acceso a traves del proxy?? si esto es correcto

1.Primeramente usar proxy no transparente bien sea establecido de manera manual en cada cliente o via WPAD (Es otro tema)
2.Establecer reglas correctas en la lan de clientes para establecer un poco mas de seguridad en el filtrado, que quiere decir esto? que si usted tiene una regla por defecto donde toda la lan de cliente tiene acceso libre a internet estos con quitarse el proxy si es de manera manual llegaran a su destino sin problemas o tiene la oportunidad de colocarse un proxy externo para lograr su fin.
Normalmente cuando me solicitan realizar este tipo de configuraciones cierro todos los huecos posibles para los clientes y luego empiezo a abrir los necesarios para trabajar con las reglas del juego.
3. Toda la configuracion de filtrado luego de hacer reglas correctas se hacen en la configuracion de squid mediante acls y grupos de usuarios. (Usuarios con privilegios abiertos, usuarios con privilegios medianos y otros denegados segun su caso) Esto en el caso que todos los usuarios pasan por el proxy en el caso que no irian solos los que pasan y los otros sus privilegios son establecidos en reglas claras trafico.

Estamos a su orden

Saludos mi estimado, primeramente la gran pregunta seria que deseas hacer con pfsense ???  Si bien es cierto mikrotik hace varias funciones y parecidas a pfsense. Que estan haciendo los mikrotik alli ubicado en cada punto? conoces esto?? te entrega direccion publica o privada el proveedor?? Si estos son colocados por el proveedor y no te de acceso seguramente alli esta estableciendo parametros de seguridad entre otros de la red de servicios, hay posibilidades que se puedan eliminar??

Creo que primeramente deberian plantearse cual es el objetivo que persiguen para analizar la factibilidad de proyecto, recuerda que con lleva una inversion no solo monetaria sino de tiempo y esfuerzo obviamente ligado a conocimientos dependiendo de lo que deseen tener trabajando en cada una de sus oficinas.

Igualmente estoy completamente a la orden y espero atento a su respuesta.

Saludos mi estimado nuevamente activo en el forum luego de unas largas vacaciones. En cuanto a tema de este hilo mi estimado amigo yo le recomendaría lo que en parte nuestro amigo periko le quiso decir, si bien es cierto en organizaciones la seguridad informática es vital y por ello usted debería ser pionero en elevar a los encargados de decisiones dentro de la organización donde labora de las medidas necesarias para atacar inconvenientes como este.

He analizado el tema de ultrasurf en especifico y via protocolo TCP/IP ni sus capas usted hasta ahora podra establecer la forma definitiva de dejar sin efecto dicho software y su forma de trabajar lo que tocaria en este caso es revisar y establecer normativas claras en la organizacion sobre bloqueo de las estaciones de trabajo en la facultades del usuario. Si un usuario no necesita tener privilegios de administrador en una sesion se le haria mas facil para usted el trabajo de eliminar dicho software de las mismas e impedir que nuevamente esten instaladas.

En todo caso es mi humilde opinion en su caso y al igual que otros compañeros del forum que he visto animado en este tema seguiremos analizando como se podria evitar las funciones de dicho software por otra via.

Estamos a su orden

Funcionando perfecto igualmente con el cliente Tunnelblick para Mac OsX  ;)

Me parece que los errorres son relacionados a que el trafico no esta llegando al Firewall.
Que dicen los logs del pfsense en la parte de la vpn ?

Creo que todas las opciones son buenas pero nadie va evitar que se pongan otra ip en las pcs.

Lo recomendable sería reforzar las políticas de uso y hacer que tus usuarios las respeten.

A menos de que les quiten la conexion , encontrarán una forma de saltarse las restricciones.

No se si alguien  comento filtrar por ip/mac en la misma regla.

Aunque igual y se clonan la mac con su respectiva ip. :), que se los puede impedir ?

Saludos.

Amigos, creo que puede ser un error de interpretación. Si se inicia squidGuard desde la línea de comandos, sin pasarle el archivo de configuración, veremos un resultado distinto al real. A mi me aparecía el mismo error, aparentemente un "emergency mode", pero simplemente podemos comprobar la funcionalidad del filtro de esta manera:

echo "http://www.sitiodeprueba.net 192.168.0.55/ - - GET" | squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf -d

Observen que pasamos el parámetro del archivo de configuración a squidGuard (algunos deben usar i386, en lugar de amd64, según la arquitectura). Al hacerlo aparecerá el diagnóstico correcto. Si el sitio es bloqueado, al final sale la URL de redirección o de la página de error.

Espero que les ayude.

cat /var/squid/log/cache.log

O tail -f /var/squid/log/cache.log mientras intentas navegar para ver el log de errores en tiempo real

También, verificar que el firewall haga la redirección del puerto 80 al puerto del proxy. Principalmente fijarse que, si la regla fue creada a mano, coincidan los puertos definidos por el admin tanto en el firewall como en la pestaña "general" del squid.

Fijate si podés sacar algo valioso de cache.log

Saludos.

buenas. Le diste alguna solución?

Puedes instalar y usar bandwidthd, lightsquid o sarg

Saludos.-

@Aleximper:

Buen día

Podrías postear que reglas de firewall  y NAT tienes en tu firewall, también Aliases si es posible, para poder verificar fallas.
si no te carga, verifica el servidor web también, hasle desde tu red LAN, ping a la ip externa.

Saludos

Hola te adjunto la captura.

Habilite el DNS forwarder "No se si es necesario"
El DNS resolver no queda habilitado "No se si es por esto que no funciona local"

No se que puede ser. Este PFSense lo estoy armando de cero.
Tengo uno funcionando pero yo no lo arme. No se que estoy haciendo mal en este.

Tengo un Windows server 2008 en el cual tengo configurado los DNS, la ip de esa maquina es 192.0.1.4
La ip local de la web es 192.0.1.167

Se que mi  rango de IP local  está mal. Pero la pagina tiene que funcionar igual local.

gracias!!!!!!

cap.jpg
cap.jpg_thumb

nada no hay manera

Error: Could not find report index file.
Check and save Sarg settings and try to force Sarg schedule.

el mismo error he cambiado todas las opciones de la tarea diaria mensual etc

igual es algo de permisos sobre la carpeta, que se yo

Buen día

jejeje no tuve en cuenta ese punto, aunque si uno no tiene como manejar vlans con un Switch toca virtualizar.

Saludos

Buen día

Logré solucionar mi inconveniente, lo que hice fue detener squid y squid guard, luego por ssh, ingrese a /var/squid/cache, borre todo lo que había ahí, luego ejecute squid -z, y reinicie squid, la falla quedó arreglada.

@acriollo:

Realmente no hay ciencia en esto , son dos portforwardings uno para http  y otro para el DNS. El tema del DNS como dice ptt y el otro compañero del foro en ingles si es mas complicado, asi como el direccionamiento que tienes. Que mas bien creo que nunca lo vas a componer :) jejeje.

Suerte.

@acriollo;

Con respeto al rango de IP, se que es un desastre. Tengo que cambiar ese 192.0.1.0/24. El problema es que lleva su tiempo.
lo que no entiendo es cual es el problema con los DNS? que esta mal? o es mas de lo mismo por el rango?

gracias!!!

yo uso la version 2.2.4 y los clientes los veo Status: DHCP leases y Diagnostics: ARP Table, veo todos los equipos de la red. especifica un poquito mas el problema