Perfecto, lo pruebo y posteo como me fue. Saludos

¡Hola de nuevo! Con respecto a los paquetes bloqueados por el firewall eran paquetes TCP con origen en el puerto 25 de mi MailServer y con destino una IP externa a un puerto de usuario. Una transmisión así no parece tener sentido. ¿No era al revés? Los usuarios de Internet (origen) se conectan desde cualquier puerto a tu servidor de correo (destino) que escucha en el puerto 25. Y tu servidor de correo (origen) debe emplear un puerto cualquiera para enviar el correo a otros SMTP (destino) que escuchan en el puerto 25. Se me ocurre que igual formaban parte de respuestas de tu servidor, cortadas por algún motivo. Igual simplemente se trataba de un fallo temporal de la conectividad a Internet. A veces pasa que te vuelves loco porque una cosa no funciona y resulta que el problema está fuera … Y de nuevo aprovecho para preguntar algo, existe algún tutorial de como añadir los paquetes de IDS para cortar messenger a nivel de paquete? Tienes tres soluciones: *** Bloquear el rango de IPs de Microsoft. Algo drástico … *** Instalar squid y establecer reglas de bloqueo, como ya te han dicho. *** Parece que hay un proxy específico para esto, http://www.imspector.org/#2 y que está disponible como paquete de pfSense. Algunos usuarios andan con ello, pero me parece que había algún problemilla. Busca en el foro por imspector ... Saludos, Josep Pujadas

Gracias Bellera ! ya lo hice y al parecer todo bien !

¡Hola! Desde tu red tienes que poner la IP privada que tiene tu servidor web … Ejemplo: LAN de pfSense -> 192.168.0.1/24 Servidor web ----> 192.168.0.2/24 Cliente ----------> 192.168.0.3/24 Entonces en el cliente habría que poner http://192.168.0.2, con lo que la comunicación va del cliente al servidor web y viceversa. No pasa, para nada, por pfSense. Seguramente habrás puesto tu IP pública en el navegador. No puedes poner tu IP pública porque estarás haciendo una petición de ida y vuelta a tu router, que no tiene sentido hacerla y seguramente tus reglas no permiten. Que no puedas ver tus páginas también puede depender de la configuración de la máquina donde tienes el servidor web y del propio servidor web. A veces las máquinas tienen su propio cortafuegos (caso de WinXP o el servidor web tiene configurado que sólo se pueda acceder desde determinadas IPs). También podría ser que en lugar de teclear IPs en tu navegador estés tecleando el nombre de la máquina. Una vez más, la resolución DNS seguramente te dará como respuesta tu IP pública. Si quieres obviar este problema y que se pueda acceder al servidor web por el mismo nombre de máquina que desde el exterior, entonces lo que tienes que hacer es emplear el [DNS forwarder] de pfSense. Esto te permitirá "engañar" a tus clientes para que vayan a la IP privada en lugar de la pública. Saludos, Josep Pujadas

Tal como dices, he dejado en blanco las Custom Options, he reiniciado y funciona! Muchas gracias por vuestra ayuda

¡Hola! Debe haber diferencias de ajuste entre los kernels de FreeBSD usados por m0n0wall y pfSense. O bien podría tratarse de ACPI. Podría ser que m0n0wall desactive ACPI por defecto y pfSense no lo haga: The use of ACPI causes instabilities on some machines and it may be necessary to disable the ACPI driver, which is normally loaded via a kernel module. This may be accomplished by adding the following line to /boot/device.hints: hint.acpi.0.disabled="1" http://www.freebsd.org/releases/6.2R/hardware-i386.html#PROC Saludos, Josep Pujadas

¡Hola! no logro de entender como hacer trabajar el el pfSense con el Squid (para hacer cache) y filtrar los contenidos con el SquidGuard. He revisado tu excelente manual pero no tienes ningún apartado que hable del SquidGuard. Si tienes algún enlace para que pueda ojear te lo voy agradeciendo desde ya (si está en castellano doblemente agradecido) Como prestación adicional, pfSense LiveCD permite (una vez instalado en disco duro) la adición de paquetes FreeBSD especialmente ajustados para pfSense. Entre ellos está squid. No estoy seguro que esté squidguard. squid permite tener una cache y realizar algunas funciones de filtrado. squidguard es un redireccionador para squid, que permite hacer filtrado de una forma más potente. Existen otros redireccionadores para squid, como dansguardian. El squid que lleva pfSense está bien para una primera aproximación a este popular servidor proxy, pero si quieres tener una cache potente con un filtrado ajustable, análisis de accesos, etc, etc hay que pensar en montar una solución a parte de pfSense. En el tutorial no hablo de paquetes porque lo hice en base a las primeras configuraciones del pfSense que tengo en producción y este es Embedded, sin paquetes. La web oficial de squid es http://www.squid-cache.org y la de squidguard http://www.squidguard.org Hay mucha documentación en la red, también en castellano. Sólo hay que buscarla, con Google. Un problema importante es que mucha de la documentación se refiere a versiones antiguas y la 2.6 actual tiene algunas diferencias, todas ellas bien explicadas en squid.conf … Si no quieres complicarte, hay una empresa que ofrece un squid + squidguard empaquetado en versiones libres y comerciales: http://www.safesquid.com/html/portal.php?page=126 No conozco el producto pero tiene buena pinta ... Saludos, Josep Pujadas

hola buen dia quisiera saber como bloqueaste el p2p por horarios agradeceria una informacion detallada de como lo hiciste gracias ya que lo vi en tu configuracion y como haces para meter los alias en las reglas de corta fuegos cualquier informacion visual estare agradecido

Yo tengo el mismo problema. Tampoco he conseguido que las STICKY CONNECTIONS funcionen correctamente. Una solucion temporal, consiste en crear una RULE previa a la del balanceo de carga HTTP, y que controle las conexiones seguras HTTPs, etc, para que se le asigne siempre la misma puerta de enlace, dejando el resto de navegacion al balanceo (otra RULE podria controlar la IP de destino y encaminar en consecuencia). El balanceo en HTTP en ciertas paginas con inicio de sesion en las que el servidor controla el origen de las peticiones probocan estos errores. Saludos.

:(  bueno, muchas pruebas y nada, con la version que me recomiendas bellera y nada… sigue dando ese mensaje de supuesto error, ya tengo 2 equipos operativos, vamos a ver como se portan, aun asi postee el caso en ingles    :-\  ... hasta luego...

sep, creo que me mande un bardo jajaj veo mejor y posteo tnx

¡Hola! coloque como primer dns la ip del pfsense, y dns secundaria una de las dns del proveedor, este ultimo funciona, lo que no se es como agregar los otros dos dns del proveedor en el dhcp server… En la interfase web sólo se pueden poner dos en [System] [General Setup]. Los dos tienen que ser fuera de pfSense, no hay que poner la IP de pfSense. Por tanto, puedes meter ahí los DNS externos, de tu ISP, hasta que no tengas un DNS propio (si lo quieres). Para tener más DNS externos tienes que guardar config.xml en un ordenador, copiarlo y editarlo: <dnsserver>AAA.AAA.AAA.AAA</dnsserver> <dnsserver>BBB.BBB.BBB.BBB</dnsserver> <dnsserver>CCC.CCC.CCC.CCC</dnsserver> <dnsserver>DDD.DDD.DDD.DDD</dnsserver> para después volverlo a cargar … La edición de config.xml es un truco que permite meter cosas no previstas en la interfase web. La pega es que significa el reinicio del cortafuegos y que si modificas la sección correspondiente con la intefase web pierdes los cambios realizados por este método. En el DHCP server no es imprescinbible poner DNS. Tal como dice "NOTE: leave blank to use the system default DNS servers" si no se pone nada se emplean los definidos en el sistema. Si quieres meter más igual se puede hacer con el truco config.xml. Pero yo no tengo ninguno puesto, con unas 200 máquinas por DHCP ... los wins no los estoy utilizando WINS sólo es necesario en caso de emplear Samba/CIFS en varias subredes. Como el protocolo de compartición de archivos (el entorno de red) de Microsoft no es enrutable WINS permite "ver" los servicios Samba/CIFS que están en distintas subredes. si deseo montar un dns aparte cual me recomiendas? Yo siempre he usado named (bin9) ya que con FreeBSD viene por defecto y sólo hay que activarlo y crear las zonas: http://www.freebsd.org/cgi/man.cgi?query=named&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&format=html http://www.isc.org/index.pl?/sw/bind/index.php Saludos, Josep Pujadas

byrpa, porque el navegador esta tratando de usar dinamicamente el puerto 1926, ese esta bloqueado No. El cierre de puertos dinámicos se refiere a puertos de destino, no de origen. Por favor, mírate bien: http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra En origen no se corta nada, se permite todo. Es en destino que sólo se permiten una serie de puertos. Los clientes abren los puertos automáticamente (en origen) para ir a un puerto de destino concreto. Por ejemplo, si van a un servidor web van normalmente al 80, en destino. Basta con que en una máquina Windows emplees la orden netstat para ver lo que te estoy diciendo … No te asustes, porque verás muchas conexiones entre la propia máquina (es normal). hay alguno que otro usuario que me ha dicho que a veces entran normal a las paginas y despues esas mismas paginas ya no las pueden acceder Tiene pinta de problemas de resolución DNS. Testea bien desde los clientes empleando nslookup. Verifica también con ipconfig qué servidores DNS tienen configuradas las estaciones. ademas que en el log hay peticiones en los puertos 137 Nov 27 13:22:28 LAN 192.168.0.15:137 192.168.0.255:137 UDP y son mucho, no se, si puede haber un spyware o algo parecido en las pcs, aunque tengo mi servidor debian, uso samba, pero no sale nada a internet, es solamente en servidor interno. Es normal. Toda red Windows emplea 137 UDP para su "master browser". Esto quiere decir que hay siempre una máquina que se erige como "examinador de la red" y envía broadcast (dirección 255 del rango de IPs) para confeccionar la lista de equipos en funcionamiento. Es decir, sin esto no existiría "Equipos próximos" en las máquinas Windows. Para no ver esto en los logs te bastará con poner una regla de bloqueo de LAN a LAN para el puerto UDP 137. Así no molesta en los logs. Como la interfase LAN pertenece al rango lógicamente recibe los broadcast. sanchezluis, ahora como modifico esta regla "por defecto"? Es la que ejecuta al final de todas las que pongas, como seguridad. Por defecto todo está denegado. Todas las reglas que pongas se ejecutarán antes que la default. Entiendo pues que no hay necesidad de meterse a modificar la default, entre otras cosas porque sería "salirse del guión" de la interfase gráfica. como habilito ver el log de las reglas creadas por el usuario como tu comntas en el post? Fácil. Fíjate que cuando estás editando una regla hay una casilla de "Enable login". ¡Ojo! En sistemas embedded no es recomendable, ya que las CF (Compact Flash) tienen una vida limitada en cuanto a escrituras; a no ser que se emplee un servidor de logs externo -cuestión prevista-. En disco duro ningún problema. ¡¡¡¡De nada!!!! Saludos, Josep Pujadas

@sanchezluys: Saludos…  8) Mi caso al igual que a ustedes el ancho de banda que ofrece la compañia no es igual al medido por el pfsense y otros software para estos fines (realizando la medicion con un solo pc conectado al ADSL) para este caso en dos puntos diferentes con una conexion por contrato de 1Mbits/s  realmente lo maximo en la realidad es 902 kbits/s  es decir en ambas mediciones el valor real es 100kbits/s menos aproximadamente. Se tiene programado subir la velocidad a 1.5 Mbits/s en ambos puntos cuando esto se haga les comento el resultado de las pruebas... Hola a todos… se realizó el cambio a 1.5M (1536 k) y se en las mediciones realizadas se noto de nuevo que esta por debajo de la ofrecida por el proveedor... en este caso el mayor valor es 1.3M es decir 0.2 M por debajo...  :-\  >:(

hola tengo un proxy tranparente y queria que todo vaya al proxy menos una ip. en pfsense no encontre como hacerlo, la unica forma que encontre es armar un script que me cambie la regla: rdr on dc1 inet proto tcp from any to any port = http -> 192.168.1.1 port 8080 por rdr on dc1 inet proto tcp from { !192.168.1.150 } to any port = http -> 192.168.1.1 port 8080 quedo asi: #!/bin/sh #el sleep es para que cargue el pf y lo pueda modificar /bin/sleep 120 PFDEFAULT="/root/pf/pf.default" PFTEMP="/root/pf/pf.temp" PFNEW="/root/pf/pf.new" #busco las reglas nat -> pf.default /sbin/pfctl -sn > $PFDEFAULT #rdr on dc1 inet proto tcp from any to any port = http -> 192.168.1.1 port 8080 -> CHANGERDR /usr/bin/sed 's/rdr\ on\ dc1\ inet\ proto\ tcp\ from\ any\ to\ any\ port\ \=\ http\ \-\>\ 192.168.1.1\ port\ 8080/CHANGERDR/' $PFDEFAULT > $PFTEM #CHANGERDR -> rdr on dc1 inet proto tcp from { !191.168.1.150 } to any port = http -> 192.168.1.1 port 8080 /usr/bin/sed 's/CHANGERDR/rdr\ on\ dc1\ inet\ proto\ tcp\ from\ \{ \!192.168.1.150\ \}\ to\ any\ port\ \=\ http\ \-\>\ 192.168.1.1\ port\ 8080/' $PFTEMP > $PFNEW #flush nat /sbin/pfctl -F nat #new NAT rules /sbin/pfctl -Nf $PFNEW en el crontab -e @reboot /bin/sh /root/pf/modif si, ya se, mucho quilombo, pero es la unica forma que encontre espero que sirva. saludos

Hola…  8) yo te recomiendo que no habilites el squid en el pfsense, es demasiado inestable, en todas las pruebas que he realizado no ha superado mis espectativas, mejor probar instalandolo en otro equipo aparte...

Perdona por no contestar, pero no habia podido ingresar por motivos de tiempo, en los post anteriores subi toda la configuracion que tenia mi pfsense, el cual ya trabaja bastante bien, excepto por el correo webmail de una empresa local, pero se resolvio mandando el trafico por uno de los routers, sin balanceo. Cual es tu problema para ver si te puedo ayudar en algo, que es lo que no te funciona?

¡Houston, tenemos un problema! La solución es (al parecer) hacer un downgrade de tu BIOS: http://forum.pfsense.org/index.php/topic,6729.msg38379.html#msg38379 Saludos, Josep Pujadas

Como dijo un amigo, la reglas son importantes, pero no lo son todo, tambien hay que hechar un ojo al NAT y habilitar el rango ip de tu nueva Lan, de lo contrario seguira sin navegar … Firewall: NAT: Outbound Saludos

Me parece interesante, pero no entiendo nada, habra por ahi algun tutorial para utilizar este sistema???? ??? Un Saludo…