Muchas gracias J.SEJO1 con esas referencias me pondre a hacer mi laboratorio para ver como funciona y con que peculiaridades me encontrare para llevarlo a mi entorno real. Muchas gracias nuevamente.

como puedes ver mi proveedor me entrega un pool /24 de ip publicas enrutado sobre la ip publica 190.95.232.234 para que yo use la red publica
internamente como yo quiera distribuirla asi yo puedo hace varios segmentos y dristribuir mi  pool como yo crea conveniente
osea el pool publico esta dentro de mi red interna no en el router de mi proveedor.
paso por pfsence para que el ospf se pueda redistribuir y asi poder llegar a cualquier ip publica dentro de mi red

Hola Leandro,

Quiero montar algo similar a tu solución, también quiero pasar unas IPs públicas por OSPF a un MikroTik, ¿me puedes explicar como realizaste dicha configuración?

Me gustaría usar el pfsense para bloquear algunas conexiones, ¿lo podré realizar a pesar de usar OSPF?

Ya me contesto yo mismo, según parece, Suricata, de momento no tiene dicha característica.

Gracias!!!!!!

@JOSEIGNACIO77:

ya modifique el gateway en pfsense y en mi host pero sigo teniendo el mismo problema de no poder salir a internet

Mientras sigas con el GW en la LAN del pfSense, seguiras sin salida a internet.

Las interfaces "tipo LAN" no "llevan" GW

Revisa/Lee: https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

Creo que mi redacción no ha permitido que me explique bien  :-\

Les dejo una imagen para que tengan una idea lo que que quiero logar.

Cada AP está en un lugar diferente por lo que debo presentarle el CP que le corresponde

Capture.PNG_thumb
Capture.PNG

@😄:

Muy importante lo que dice periko.

Por otro lado por que no crear un cluester y que todo pase por el (LAN, DMZ y WAN) con eso  tienes alta disponibilidad y una red mas limpia y organizada

Finalmente decidí hacerlo con un sólo Firewall, en ves de dos como me sugeriste, en modo HA.

Muchas gracias.

Ok, gracias

pfSense, es un programa. Lo que soporte o aguante de velocidad, lo determina la tarjeta de red y no el programa.  En resumen, tiene que reconocer la tarjeta y punto.

Gracias por responder, entiendo y voy a realizar esas configuraciones. Pero tengo una duda si uno pone en modo Proxy explicito y no define ninguna regla en rule del firewall, cualquier pc conectada a cualquier vlan debería si o si no poder navegar hasta tanto no tener configurado el proxy en su navegador, no? o es que si o si hay que configurar una regla diciendo que toda tu lan pase si o si por el puerto 3128? gracias.

Lo que es más. No vas a tener WAN sólo por definir el interfaz como WAN. Primero tenemos que saber a qué te refieres cuando hablas de WAN. Hemos de enternder que por WAN te refieres al intefaz que te conecta con internet cuyo servicio lo obtienes de un proveedor de internet?

Si ese es el caso entonces, Qué tipo de WAN tienes? PPPoE, DHCP, estática? Para poder saber cómo configurar la WAN hay que saber qué WAN se tiene y de eso no se ha comentado nada.

Lo que estás buscando es balancear la carga de salida mediante la asignación del default GW a cada cliente.

Considerando que tienes un algoritmo que es capaz de saber la carga instantánea que hay en cada uno de los GW disponibles puedes usar el atributo 'Framed-Route' para indicar el gateway usando 0.0.0.0/0 como red de destino, es decir,

Framed-Route = "0.0.0.0/0 xx.xx.xx.xx y"

siendo xx.xx.xx.xx la IP del GW que deseas asignar e 'y' el valor de la métrica (normalmente 1).

@pozolero:

Que tal , saludos a todos en el foro.

Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien.  Pero recien me acabo de dar cuenta que tengo 2 equipos en la red que me sirven para hacer pruebas que se brincan por el arco del triunfo el squidguard con todo y estar dado de alta en el grupo de usuarios con restricciones.  Y lo curioso es que tengo las ip's dadas de alta en ese grupo y al navegar por ejemplo a youtube, facebook, etc sitios que están restringidos para ese grupo, simplemente estos parece que estuvieran dados de alta en el grupo sin restricción.  Pero los demás equipos que están сomprar мiagra en Madrid aqui dados de alta en ese grupo si están restringidos, solo estos 2 parece que no les afectan las restricciones que tengo al estar dados de alta en este grupo.  >:( :o

Pero caso curioso, tengo otro grupo que tiene como regla general en squiguard todo bloqueado, sin navegación a nada y al dar de alta ese equipo en ese grupo le bloquea la navegación total perfectamente… ???

A alguien le ha pasado esto? Cómo lo han solucionado?

Gracias por responder

Nunca hubiera pensado que esto podría suceder.

@j.sejo1:

Hola

La clave en estas reglas:

iptables -A FORWARD -m string –string "google.com" --algo bm -j ACCEPT
iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP

Es que por defecto como todo firewall, primero el acepta a google y luego bloquea a  youtube.

Ahora bien, el -m de iptables,  es para la carga de modulo o para match de regla, en tu caso debe hacer match en la cabecera tcp/ip con el string que le estas pasando. (algo que solo se puede ver a nivel de sniffer, ej: tcpdum)

Ahora, iptables a Linux como pf a FreeBSD,  son idénticos en cuanto a que son firewall a nivel de kernel (corrijame si me equivoco).

Lo mas probable es que se pueda hacer en PF (Packet Filter) ,  ahora que se pueda hacer en Pfsense como frontend Web?  habrá que verificar.

Ahora, como decimos en mi país hacer filtrado web a punta de Iptables puro, es un "FUME".

Aquí es donde yo aplico el dicho: Zapatero a su Zapato,  es decir:

Dejemos lo que es Firewall para filtrado de IP, Puertos....  etc.

Queremos bloquear paginas de navegación comprar Spedra generico, Spedra precio en farmacias en pagina web?  Usemos Proxy.

Saludos.

¿Hay alguna relación en qué sistema operativo?

Estimado, puedes bloquear la creando una regla de bloqueo de las IPS Publicas de la tienda o en todo caso, mejorando las reglas de ACL del SQUID o Dansguardian

Muchisimas gracias estimados.

Era lo que necesitaba.

Saludos

Ahorita no tengo un pfsense para probar, pero una vez hice una implementacion y me andaba volviendo loco y resulta que en donde le dices que quieres pasar todos los puertos creo le habia puesto TCP/IP y le cambie a ANY y hasta entonces dejo pasar un trafico que no podia pasar….. pero no recuerdo buen..

Por cierto si el problema persiste, una imagen dice mas que mil palabras, te aconsejo poner unas capturas de tus reglas,

Valida que no te quedo nada por fuera: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

Sobretodo el parámetro:  Remote Network      en ambos nodos.  de la phase2

Saludos.

Adicional a lo que recomienda periko.

Para que utilizar 2 tarjetas de red?  utiliza una sola y listo, si solo va ser de proxy,  es  como si fuera un servidor mas en la red.  Una sola tarjeta de red, ponle su gw y lo demas de redes o permisos de firewall (no de pfsense).

Tu pfsense esta al dia?