@gaxiolamx:

con la nueva version 2.1.2, las reglas de salida, no las esta respetando,
lo que me indica que mejor instalare la version 2.1.0 que es mas estable, y que si funciono, en su momento.

Un punto a tener en cuenta son los cambios respecto a las reglas/policy routing entre las versiones 2.0.x y 2.1.x ;) como lo menciona @phil.davis en este post (si buscas por el foro, vas a encontrar mas posts haciendo referencia al tema)

https://forum.pfsense.org/index.php?topic=75864.msg413958#msg413958

Do you have policy-routing rules? (i.e. rules that specify a gateway)
The behavior of those has changed. In older versions, extra pass rules were automatically put in to allow "local" traffic to be passed to the normal routing table. Now in newer versions (2.1 and later), policy-routing rules do as they say, if you policy-route everything, then everything goes out the specified gateway. Often this is the reason for simple "local routing" to stop working on an upgrade like this.
Add rule/s before the policy-routing rules to pass traffic between "local" subnets, with no gateway specified.

Saludos estimado mellomx, seria bueno que colocaras cual es la topologia real de tu red para poderte ayudar, esas reglas no son muy complicadas. Si tienes el servidor de correo en lan crea un aliases para este y creando una regla para este con lo que deseas que accese tienes. Otra forma es tener los servicios en una dmz subred distinta a tu lan de clientes. Y en esa dmz no necesitas filtrar nada a menos que asi lo desees . Cualquier cosa avise estamos a su orden

Aviso versión anterior, 2.1.2 –--> https://forum.pfsense.org/index.php?topic=75056.0

Lo recomendado en estos casos es tener un "Syslog Server" externo….

En "System logs --> Settings" tienes la opción: "Send log messages to remote syslog server" y puedes seleccionar/filtrar que "logs" enviar al Servidor Remoto.

O puedes buscar/leer acerca del paquete "syslog-ng"

Syslog-ng syslog server. This service is not intended to replace the default pfSense syslog server but rather acts as an independent syslog server.

No package info, check the fórum

Gracias por la gran ayuda , finalmente pude lograr hacer funcionar las vlans , lo que hice fue crear la vlans 10 puerto 2 , vlans 20 puerto 3 ,vlnas 30 puerto 4 , y el puerto 24 que va hacia pfsense lo vincule con las Vlan10,vlan20,vlan30 , las vlans que van las lineas adls le coloque la opción remove tag , y el puerto 24 que va hacia pfsense la opción add tag y funciono todo .

hola, muchas gracias, por tu apoyo,

en efecto asi lo tenia..

el problema me resulto de actualizar de la version 2.1.0 a la 2.1.2,

me regrese la la verison 2.1.0 y todo como salio bien,,

espero poder encontrar la falla, porque debe ser mas seguro tener la version mas reciente verdad?

saludos y de nuevo gracias

Saludos mi estimado, mala cosa debes proteger tu pfsense con un ups estimando las fallas mas alargada del servicio electrico. Al parecer esta dañado el paquete de radius por esto te marca el error que lo reinstales. Recuerda que el servidor esta usando datos del disco y una interrupcion de este tipo daña inclusive los disco duros . Estamos a tu orden

Asi es mi estimado, Pfsense es realmente un robusto firewall que ofrece una gama amplia de proteccion y servicios requerido en nuestras redes de servicios. Viva Pfsense!!!

Es correcto ptt lo digo como una recomendacion para el compañero en cuanto a performance y optimizacion del servicio, pero de igual manera tiene esa opcion de bind dentro de pfsense. Saludos

Saludos mi estimado, es recomendable implementar estos servicios en un servidor adicional y dejar a pfsense para las tareas de firewall- enrutador que por cierto la hace de forma excelente. No tendrias porque tumbar el servicio de internet a tus clientes para esto. Configura tu servidor y luego de alli en tan solo minitos puedes echarlo andar junto a pfsense con los clientes redireccionados a tus servicios

Saludos mi estimado, lo he trabajado sobre ubuntu y en debian. El recurso requerido en el servidor para trabajar squid depende de primeramente la cantidad de clientes a servir y luego del tamaño de la cache a manejar y desde luego si en este luego te animas a colocar otros servicios necesitarias mas recursos en el mismo. Estamos a tu orden

Disculpen, esta es la regla:(ver anexo regla alias), igual envío resultado de nslookup a la dirección kik.com (ver anexo), actualmente la regla esta deshabilitada y probada en dos ubicaciones, al principio y al final.

Gracias de antemano por la ayuda

REGLA_ALIAS.png
REGLA_ALIAS.png_thumb
nslookup:KIK.COM.png
nslookup:KIK.COM.png_thumb

Saludos mi estimado, en general las soluciones a sus inconvenientes veo pueden ser resueltas sin problemas con el uso de un servidor en alguna distro linux con los servicios squid y dns. Esto por varias razones: 1. Posee dos wan y hasta ahora trabajar squid en pfsense con balanceo de wan no se ha podido a menos que estas sean balanceadas antes de entrar a pfsense coomo una sola wan. 2. Squid trabaja de manera mas optima fuera de pfsense debido al consumo de recursos que supone y mas si su aplicacion se hace en una red amplia.  En squid puede sin problemas establecer cortes por horarios, dominios, grupos de clientes y demas. Y en ese mismo servidor podria manejar un dns local como asi disponga. He instalado este tipo de configuraciones en redes de servicios en produccion y funcionan super bien. Estamos a su orden

Asi es, uno esta configurado como servidor y otro como cliente. Segui este manual https://forum.pfsense.org/index.php?topic=48667.0

En las reglas de WAN tengo esto:
IPv4 UDP * * WAN address 14581 * none   OpenVPN Site 2 site

Gracias

Saludos mis estimados, hasta ahora siempre se ha aconsejado usar squid fuera de pfsense. Creo que si se usa de esta manera el rendimiento es optimo. Actualmente lo uso de esta forma y va de maravilla ahora bien lo que indican del balanceo de las wan es otra cosa. Quizas el uso de algun balanceador ayudara a optimizar el uso de varias wan antes de pfsense y luego usar squid quizas en una dmz o en la misma lan para realizar el cache y consulta directa a esa gran wan (con sus tres wan ya balancedas).

Saludos mi estimado, se necesita mas especificaciones de tu hardware usado para trabajar pfsense con esa configuracion que mencionas y clientes reales que cubre. El servicio de squid siempre se ha mencionado en el forum es mas efectivo y optimo si se maneja en un equipo aparte con buenas caracteristicas del mismo, ya que este usa mucho recursos. A la espera de su respuesta si necesita ayuda en esto

Saludos mi estimado que equipo estas usando como dns de tu lan local? pfsense??? recuerda que pfsense trae por defecto la redireccion a su puerto de escucha cuando colocas el nombre del dominio que usas, revisar esto. Si necesita mas ayuda estamos a la orden

Saludos mi estimado el equipo a elegir depende del uso y tamaño de la red en la cual servirá. Esto lo digo porque pfsense puede colocarse hasta en un P III de 700 mhz ahora bien si piensas manejar en el mismo otros servicios que se pueden desglosar del uso de un portal cautivo el rendimiento no seria optimo. Cabe acotar que si lo que desea segun leo en su post es usar el portal cautivo de pfsense para controlar solo el área wifi puede usar un pentium 4 con al menos 1 gb de memoria y un disco hasta de 40 o menos gb para realizar de manera optima esa tarea. Ahora bien de esto hay mucha tela que cortar debido a que el manejo de portales cautivos hoy en dia se deben trabajar con cautela en el área de seguridad debido a que en internet esta toda la informacion ofrecida para cualquier persona de cono sniffear una red y saltar portales cautivo de manera efectiva tema que se ha vuelto un dolor de cabeza para muchos.  Estamos a su orden mi estimado amigo

Gracias por tu respuesta, pero sigo sin lograrlo.

Intente de esta forma:

#agregué una expresión regular para detectar IP.

acl ip_denied dstdom_regex ^[0-9].[0-9].[0-9].[0-9]$
http_access deny ip_denied

Pero no he logrado bloquear la peticiones http a direcciones IP.
Alguna ayuda?

También necesitaría bloquear el puerto 443 únicamente para peticiones destino que sean IP directamente.
Todo esto es por el maldito ultrasurf y similares…

Gracias!