Lo que comenta dementekuatiko es imprescindible si se quiere poder actuar con filtros squid (o squidGuard) en las búsquedas a Google. Simplemente se trata que cuando los usuarios pongan www.google.com vayan a http://www.google.com y no a https://www.google.com Es decir, que no se emplee encriptación SSL. A partir de ahí sí se gestionarán las reglas squid o squidGuard que se pogan para la URL. Remarcar que el split DNS debe hacerse para todos los Google que se empleen: www.google.com, www.google.es, www.google.cat … Si alguien tiene DNS en la red que no sean pfSense ahí va la documentación: http://linuxcentre.net/wiki/index.php/Web_Content_Filtering#The_Google_SSL_Search_problem_and_Google_Apps_for_Education En Documentación tenemos un comentario sobre esto: nosslsearch.google.com + squid + MultiWAN + proxy transparente proveedor internet https://forum.pfsense.org/index.php?topic=74447.0 (en inglés)

@rocaembole: Bueno, gracias por la respuesta!! Supongamos que tengo que instalar un pfsense en un entorno con AD, donde el usuario Administrador está deshabilitado. ….. Si te topas con alguien como yo en seguridad :D seguro que no tienes el usuario Administrador funcional, aunque está activo, tiene una contraseña compleja, autogenerada, muy larga y compartida, almacenada en sobre lacrado, y dentro de una bolsa con precinto y un acta :D  esa contraseña solo usa en caso de un DRP. para las tareas administrativas, cada Admin tiene permisos administrativos para sus labores, pero que dejan trazas de auditoría para cualquier análisis forense futuro :D Por otro lado, sí, desde windows 2003 creo que el tema de los CN se complicaron con "nombre apellido" en lugar del UID, qué te puedo decir… así es Windows "facilitando" las cosas. Saludos.

Por otro lado, creo que estás usando mal la DMZ, por ejemplo, tienes permiso de la LAN a la DMZ global, por lo que podrías recibir un ataque interno, yo colocaría por ejemplo: LAN Net –-> DMZ_Server_DB    Port 5432  LAN Net ---> DMZ_Server_http    Port 80 y 443 (Puedes definir un Alias con ServiceWeb y colocar los dos puertos. LAN Net ---> DMZ_Server_mail  Port 25/110 o por TLS  587/993  igualmente puedes hacer un Alias. ADMINS ---> DMZ_Net                  Port  ssh      ADM_Net puede ser un Alias de las IPs/VLAN de los Administradores. BackUp  ---> DMZ_Net                  Port  XXX  El puerto por donde funcione tu sistema de Backup de Cinta (si es que tienes) Lo mismo aplica desde la DMZ a la LAN, DMZ_Server_DB  ---> LAN Net  Port 5432    .... * * * Saludos

Bug, al parecer resuelto, en el cliente OpenVPN para Windows 8: https://community.openvpn.net/openvpn/ticket/316

@shadow25: Hola. Te dejo unos links interesantes que te pueden aportar algun acercamiento a la solucion del problema. http://www.wedebugyou.com/2012/11/how-to-prevent-and-mitigate-ddos-part1/ http://es.scribd.com/doc/245892003/Instalacion-configuracion-y-funcionamiento-del-IDS-SNORT-pdf http://postgrado.info.unlp.edu.ar/Carreras/Magisters/Redes_de_Datos/Tesis/Britos_Jose_Daniel.pdf Saludos ¡Buen aporte! Referenciado en Documentación.

Muchas Gracias Sr. Bellera, Voy a revisar sus comentarios y aplicar lo que se menciona, Aprovecho para mencionarle que probé actualizando a la version 2.2 y todo quedo bien, ya no se apaga ninguno de los dos equipos, el único detalle es que se elevaba mi procesamiento por los layer7 y trafic shapper ya que estos los aplico en unas reglas de mi lan. Las reglas dejaron de funcionar, pero quitando de las reglas el layer7 y trafic shapper todo jalo de nuevo bien. Se que es una beta y corro riesgos de inestabilidad, pero tal vez esto sea algún bug como me mencionaba, ya que todas mis configuraciones están bien e igual pero en la versión 2.2 y corre sin problemas. Saludos.

Muy bien..  pudiste solucionar!!! Pero nunca esta de mas irse por las opciones mas seguras..  saludos

Si ya configuraste las redes remotas y locales de los dos lados, debes de tener problemas con tus reglas o los equipos no tienen configurada la puerta de enlace correcta. Por favor postea tus reglas y las configuraciones de los servidores.

Gracias instalado y funcionando  :)

La grafica por interface muestra el trafico que en OUT esta sacando hacia los usuarios y en In lo que que esta recibiendo. Esto quiere decir que si en OUT tienes un pico de 3MBs alguno o varios de tus usuarios estan descargando algo que proviene o se esta reenviando desde la interface LAN de tu PF. lo contrario es con IN.

Creo que vamos a calar ese modelo de mercado libre, es cierto aqui se ve como aun las compañias telefonicas nos tiene atados a sus gustos.   Como es posible que aun sigamos en 3g y aun lado(USA) el 4g sea ya el estandard. Y que Telcel nos diga, 'es que los fabricantes aun no se enfoncan en esta tecnologia en Mexico'. Por dios, si ellos cada mes estan al frente de las especificaciones. Pero creo que no tenemos mucho que hacer y solo es buscarlo por nuestra cuenta como esta caso, vamos a ver que tal este equipo y ver que nos puede ofrecer mas haya de los 3g(4MB). Gracias y saludos.

Saludos mi estimado recordar que el nat como ya se ha indicado anteriormente se usa para publicar servicios en internet que se encuentran en algunas de las subredes internas, como efectivamente indica el maestro bellera necesitas reglas de acceso hacia la otra subred recordar que las reglas se colocan en su origen todas estas observaciones aparecen en documentacion Estamos a la orden

@ptt: Diagnostics –> ARP Table Haz un script para pinguear todas las IPs y las tendrás en la tabla ARP…

https://forum.pfsense.org/index.php?topic=23685.0 Drivers cargables

@lupox: la distribución e instalación del certificado en los navegadores de los usuarios que son cerca de 150, instalar uno por uno no es rentable, existe alguna función que permita que el squid en modo transparente envié los certificados, de manera automática a los dispositivos que utilicen la red, osea ellos se conectan a la red y se les envía el certificado y ellos lo acepten. No que yo sepa. Eso es inherente a los navegadores. Entiendo que si fuera posible automatizar esto quedaría en entredicho la seguridad del navegador.

Saludos mi estimado vaya a la pestaña system/advanced y luego el apartado DNS Rebind Check destilde esta opcion si la tiene activa y pruebe nuevamente ya no deberia aparecerle el mensaje. En todo caso esta no seria la solucion total y final para que funcione normal el servicio publicado se recomiendo uso de un dns local con dos vista para responder adecuadamente el dominio interna y externamente. Me entero que ahora el forums se convertira en un negocio!!! Jajaja El cliente pagara sin problemas si le solucionas realmente Saludos estamos a la orden

Buenas, sigo sin conseguirlo. En la sección Proxy Server de la GUI la opción de loguear squidGuard dice lo siguiente: This option only will work if you include this code on your sgerror.php file to force client browser send a second request to squid with denied string on url. Entiendo que cuando squidGuard bloquea una página, se hace una segunda petición a squid para que figure también en el log de squid. Eso parece estar funcionando porque en Sarg tengo configurado que lea el log de squid y cuando se generan reportes me figuran también las páginas que han sido denegadas por squidGuard. El problema es que dichos accesos en los reportes de Sarg no son etiquetados como "denegados", de modo que cuando estoy viendo un reporte, en la sección "denied accesses" solo aparecen los bloqueos de squid y no los de squidGuard (que como he dicho sí los puedo ver como tráfico normal si entro en el desglose de una IP). Puede parecer una tontería pero normalmente el usuario que es bloqueado al entrar en una página pornográfica (por poner un ejemplo) suele intentarlo con otras hasta que da con una que no está categorizada, por lo que hacer un seguimiento de los usuarios que reciben bloqueos me ayuda a depurar las listas y a sancionar a dichos usuarios reincidentes. Y con una red de más de 500 usuarios no puedo ir mirando individualmente cada IP para buscar estas cosas. Lo único que puedo hacer de momento es observar dichos bloqueos en el propio log de squidGuard, pero me gustaría poder trabajar directamente con los reportes de Sarg, así que si alguien lo consigue o tiene alguna pista de cómo hacerlo se lo agradecería. Salu2

Soy novato en pfsense , ayudape please !

Ah excelente mi estimado habria que analizar bien la factibilidad de modificacion de esa configuracion via consola, actualmente uso un sistema desarrollado por nuestra empresa de gestion administrativa para WISP pero esta requiere el uso de pfsense+squid sobre distro linux preferiblemente debian.