@ptt Gracias. De hecho al crear el limiter por defecto en la mask la tiene en none. Me funciono. pero al salir por un proxy dentro del mismo pfsense, creo que debo jugar es con delaypool del squid.

Pareciera problema de DNS..

¿con que web lo esta probando?, con http://www.nic.mx le salta el portal?

la línea que uso y funciona para los grupos en el squid seria asi: ldapusersearch ldap://x.x.x.x:3268/DC=dominio,DC=corp?sAMAccountName?sub?(&(memberOf=CN=10GSMiBanco,OU=Servicios,OU=Operaciones,OU=Lima,OU=Globales,OU=Grupos,DC=dominio,DC=corp)(sAMAccountName=%s))

Saludos, como comenta j.sejo1 el ataque iría directamente a los servicios que publiques, si vas a hacer explotacion de servicios por ejemplo brute force al RDP, puedes usar el IPS/IDS, también suma el hecho de usar pFblocker, y tambien seria bueno usar DNSBL, si vas a hacer un payload que realice una conexión externa para descargar algun tipo de malware.

@cubag y has intentado lo que puso @bellera hace 4 años y dos post, sobre el formato del certificado ??

Creo que por el título del post y la poca información que está dando, esta intentando usar proxy con man in the middle. Pero si hace falta más información.

**%(#000000)[@mosheline said in Dos Líneas de Internet y DMZ: Buen día. Tengo esta consulta: Eth0: 192.168.1.1/24 => Claro Internet Eth1: 192.168.2.1/24 => Movistar Internet Eth2: 192.168.3.1/24 => DMZ (DNS, Correo, Web) Eth3: 192.168.4.1/24 => LAN (AD, BD) Problema 01 Cuáles son los pasos para que la LAN se conecte a la DMZ (resolver el correo y página web) para que se autoredireccione sin la necesidad de salir a Internet. Problema 02 Cuál es el procedimiento para que las IP's de la LAN (.41, .42, .43) salgan por Eth0 y el resto salga por Eth1. Entiendo que es todo un problema de infraestuctura, pero en mis laboratorios con Virtualbox no he logrado hacerlo funcionar. Agradezco su ayuda compañeros.]** Para el problema 02 La clave esta en las Rules de cada interfaz, permitiendo acceso de la LAN hacia la DMZ Para el problema 02 La clave esta en las Rules de la LAN que los host (.41, .42, .43) tenga configurado como GW Eth0 , y los demas equipos tengan como GW Eth1.

Hola Que validaciones has hecho?

@Esquirla: Bueno comento que ya en una instalación limpia  pfsense  (2.3.5-RELEASE-p1 (i386) ) + Squid Version .0.4.43 + Squidguard Version 1.16.4 en Modo No transparente, logre bloquear todo el tráfico http y https, logrando habilitar listas blancas y negras para las diferentes vlan, lncuido habilitación de ciertas paginas como redes sociales en un cierto rango de horarios para la vlan más abierta en cuanto a navegación. Doy por cerrado el problema. Si puedes hacer un manual se te agradecería.

No se si te sirve,  este es una de las ultimas conexiones que hice: dev tun persist-tun persist-key cipher AES-256-CBC ncp-ciphers AES-256-GCM:AES-128-GCM auth SHA1 tls-client client resolv-retry infinite remote x.x.x.x 1194 udp verify-x509-name "Vpn-Cert" name auth-user-pass pkcs12 srv-UDP4-1194-vpnuser.p12 tls-auth srv-UDP4-1194-vpnuser.key 1 remote-cert-tls server comparandolo con el tuyo,  la diferencia es que en el mio se valida con el .p12  ya que el concatena los 3 certificados (raiz,  servidor y cliente)  y la clave .key. Cuando dices que tu ISP no de deja descargar el cliente-export,  te refieres a cuando lo vas a instalar en el pfsense?

Por si a alguien le sirve en el futuro, para evitar que al reinstalar se restaure las configuraciones sin haber habilitado la opción de mantener la configuración solo se debe editar el archivo /cf/config/config.xml y eliminan las lineas de squid y squidguard y listo,

https://forum.pfsense.org/index.php?topic=23265.0 https://forum.pfsense.org/index.php?topic=23409.0 https://forum.pfsense.org/index.php?topic=80192.msg437456#msg437456 eh buscando tutoriales lo hago tal cual y no me estaria funcionando. No sabemos a que "tutorial" te refieres….. Si el "Tutorial" es "correcto" y Si "lo haces tal cual" debería funcionar.... Si "muestras" (capturas de pantalla) lo que estás haciendo, es posible que los compañeros puedan ayudarte/orientarte....

@periko: Pantallazos del error, saludos. Hola que tal @periko, gracias por responder. Te comento que el error era el time_out de Google Chrome, te digo que era porque ya lo solucione. Yo manejo dos servidores Pfsense, constantemente cambio de servidor desde mi navegador, siento que algo paso, que los datos de la cache afectaron a una de las sesiones dentro del servidor, porque limpie el historial, la cache, cookies y listo. Funciona de nuevo. Saludos.

Con pfsense NO. Ahora Squid no es Pfsense, entonces lee esto:  https://wiki.squid-cache.org/MultipleInstances Claro ya aquí no usarías pfsense, tendrías que usar un linux de preferencia, Debian, CentOS ,etc, e  instalar squid. Es cuestión de probar.