Te recomiendo sarg, aunque no es gráfico. Más analizadores para squid, http://www.squid-cache.org/Misc/log-analysis.html

Hola, vuelvo por aquí después de mucho tiempo. Tengo servidores en Heztner, y tengo nat en máquinas virtuales, eso me funciona ok. Si realmente quieres proteger esas máquinas, usa iptables para bloquear todo y ve abriendo. Un saludo

Hola bellera, Gracias por tus respuestas en primer lugar y disculpa que no contestase antes. Efectivamente el servidor web accede a internet por otra puerta, es una red cuya estructura no puedo alterar. Lo probaré esta tarde y te diré si se solucionó. Gracias, Javier.

Gracias por la info… saludos!

Muchas gracias por su pronta respuesta; Seguiré sus observaciones. Para documentar el resultado.

Voy a probarlo en entorno Fisico . ya os contare que tal la aventura. Muchas gracias por la respuesta. Saludos

Estimado, Muchas gracias por tu respuesta. No me habia percatado de ella puesto que al parecer debia habilitar la opcion de notificacion en el post, y olvide hacerlo :D . Lo que yo necesito saber es cuantos usuarios se conectan efectivamente en mi red… para poder determinar las horas de mas alto trafico entre otras cosas... sabes si alguno de los graficos que pfsense muestra, entrega esta informacion? Muchas gracias por tu ayuda. Saludos!

Gracias por la informacion me pegare con el tema ya tengo por donde empezar un saludo.

Debes manejar subredes distintas en cada tramo para que el enrutado funcione.

A ver, intento RESUMIR… Empezamos con que el escenario era: Jugadores de LOL con lag debido al uso de navegación "pesada" (principalmente Youtube). Ahora tenemos, como mínimo: Jugadores de varios juegos (LOL, XBOX…) con lag debido al uso de navegación "pesada" (principalmente Youtube). Consideraciones: Muchos juegos emplean conexiones http (TCP 80) y https (TCP 443), a parte de otras. La finalidad de operar por http y https es hacer que sea fácil jugar detrás de cortafuegos. Esto dificulta la diferenciación entre lo que son juegos y lo que es navegación web. Si se emplea un proxy transparente, la conexiones hacia TCP 80 (hhtp) pasan todas por el proxy transparente. No depende de si el navegador y/o el juego tiene en su configuración indicado el uso del proxy. Se supone que con squid 3.3.4 se puede llegar a tener el proxy en modo transparente para las conexiones TCP 443 (https). Pero no lo he probado y su puesta en marcha parece algo compleja, http://forum.pfsense.org/index.php/topic,62256.0.html Posibles soluciones: 1. Poner el proxy en modo transparente y desactivar las reglas en LAN que hiciste. Esto hará que todas las conexiones TCP 80 (http) pasen por el proxy. Por supuesto, las TCP 443 (https) no. Podrás controlar con el proxy cosas como http://www.youtube.com pero no https://www.youtube.com Otro inconveniente es que todas las conexiones http de los juegos también pasarán por el proxy, cosa que les puede ocasionar algún lag. 2. Dejar el proxy como no transparente, desactivar las reglas en LAN que hiciste y tener puesto en los navegadores el proxy. Esto hará que los juegos vayan libres a internet, sin pasar por el proxy. Y los navegadores pasarán por el proxy para todos los protocolos (importante). La pega es que si algún usuario te quita el proxy del navegador, irá directo. Esto último seguramente se puede evitar con alguna opción de seguridad en los propios equipos. Hay que averiguar soluciones para sistema operativo y navegadores en cuestión. Por supuesto, se entiende que en ambas soluciones se maneja el Traffic Management de squid para hacer que la navegación "pesada" sea menos prioritaria. Para finalizar, antes de empezar conviene hacer una lista exhaustiva de qué tenemos y qué pretendemos. Hay que tener una visión global. De lo contrario, se produce un goteo de cuestiones con respuestas que fácilmente pueden llegar a ser contradictorias.

Según http://islolup.com/ parece que lo que toca a IberoAmérica es esto: $ nslookup ll.leagueoflegends.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: ll.leagueoflegends.com canonical name = ll.leagueoflegends.com.cdn.cloudflare.net. ll.leagueoflegends.com.cdn.cloudflare.net canonical name = cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net. Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.244.13 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 141.101.114.14 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.245.13 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.247.13 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.246.13 LOL Launcher 190.93.244.13/32 141.101.114.14/32 190.93.245.13/32 190.93.247.13/32 190.93.246.13/32 $ nslookup lq.br.lol.riotgames.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: lq.br.lol.riotgames.com Address: 66.151.33.21 LOL Login 66.151.33.21/32 Yo añadiría esto a lo existente.

En uno de los equipos que no publica los servicios: Si Windows, ipconfig /all Si Linux, nm-tool En pfSense: Interfases (LAN, WAN…) NAT Port Forward WAN Rules

1. Los equipos deben protegerse de cortes de luz, mediante SAI. 2. Las configuraciones config.xml deben guardarse en lugar seguro. 3. Si tienes acceso a consola mira si arranca o no realmente y qué opciones tienes. ¡Suerte!

http://forum.pfsense.org/index.php?topic=63094.0

disculpen la demora de la respuesta, se resolvio el inconveniente realizando el paso anterior propuesto, el unico detalle que no se pudo colocar dicho comando a niver servidor ya que es win2003 y dicha version no tiene esa caracteristica, favor de colocar solucionado a dicho caso. muchas gracias por su apoyo

Muchas Gracias Sr. Bellera, esto ha de ser al tener servicios nateados y por esto aparecen, y ver si quieren comprar un certificado ssl que sea firmado por alguien autorizado. Gracias como siempre por su ayuda. saludos.

Muchas Gracias Sr. Bellera, por el momento lo pude resolver abriendo una interfaz mas y a esta asignarle una ip del segmento de la 172.17.0.0/16. Gracias.

@ptt: Trafico desde WAN hacia LAN (Inbound) –> Port Forward + Regla de FW NAT Port Forward para el TCP (?) 3306 más regla (automática) asociada en WAN. A parte de esto tienes que considerar si tu WAN está con IP pública o con IP privada. En el primer caso quiere decir que el equipo de conexión a internet actúa en modo puente, por lo que no tienes que hacer nada más. En el segundo caso quiere decir que el equipo de conexión a internet está en modo enrutador, por lo que también tendrás que hacer NAT en él hacia la IP de la WAN de pfSense. En los foros de ADSL habituales encontrarás como "abrir puertos" en el modelo de enrutador que tengas. Para más información, consultar Documentación (arriba, en este foro), entrada Publicar un servidor en Internet (NAT entrante, NAT Port forward) Uf… Añado más cosas... TCP/UDP 3306 es MySQL, http://www.speedguide.net/port.php?port=3306 El servidor MySQL tiene políticas que le indican desde donde pueden hacerse los accesos. Hay que verificar qué hay en esos privilegios que, además, pueden ser para cada una de las bases de datos que tenga MySQL.

jejeje, genial ptt.

¡Vaya! ese era mi problema  :-[ Muchas gracias de nuevo por su colaboración y oportunidad en las respuestas.