Lo que estás buscando es balancear la carga de salida mediante la asignación del default GW a cada cliente.

Considerando que tienes un algoritmo que es capaz de saber la carga instantánea que hay en cada uno de los GW disponibles puedes usar el atributo 'Framed-Route' para indicar el gateway usando 0.0.0.0/0 como red de destino, es decir,

Framed-Route = "0.0.0.0/0 xx.xx.xx.xx y"

siendo xx.xx.xx.xx la IP del GW que deseas asignar e 'y' el valor de la métrica (normalmente 1).

@pozolero:

Que tal , saludos a todos en el foro.

Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien.  Pero recien me acabo de dar cuenta que tengo 2 equipos en la red que me sirven para hacer pruebas que se brincan por el arco del triunfo el squidguard con todo y estar dado de alta en el grupo de usuarios con restricciones.  Y lo curioso es que tengo las ip's dadas de alta en ese grupo y al navegar por ejemplo a youtube, facebook, etc sitios que están restringidos para ese grupo, simplemente estos parece que estuvieran dados de alta en el grupo sin restricción.  Pero los demás equipos que están сomprar мiagra en Madrid aqui dados de alta en ese grupo si están restringidos, solo estos 2 parece que no les afectan las restricciones que tengo al estar dados de alta en este grupo.  >:( :o

Pero caso curioso, tengo otro grupo que tiene como regla general en squiguard todo bloqueado, sin navegación a nada y al dar de alta ese equipo en ese grupo le bloquea la navegación total perfectamente… ???

A alguien le ha pasado esto? Cómo lo han solucionado?

Gracias por responder

Nunca hubiera pensado que esto podría suceder.

@j.sejo1:

Hola

La clave en estas reglas:

iptables -A FORWARD -m string –string "google.com" --algo bm -j ACCEPT
iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP

Es que por defecto como todo firewall, primero el acepta a google y luego bloquea a  youtube.

Ahora bien, el -m de iptables,  es para la carga de modulo o para match de regla, en tu caso debe hacer match en la cabecera tcp/ip con el string que le estas pasando. (algo que solo se puede ver a nivel de sniffer, ej: tcpdum)

Ahora, iptables a Linux como pf a FreeBSD,  son idénticos en cuanto a que son firewall a nivel de kernel (corrijame si me equivoco).

Lo mas probable es que se pueda hacer en PF (Packet Filter) ,  ahora que se pueda hacer en Pfsense como frontend Web?  habrá que verificar.

Ahora, como decimos en mi país hacer filtrado web a punta de Iptables puro, es un "FUME".

Aquí es donde yo aplico el dicho: Zapatero a su Zapato,  es decir:

Dejemos lo que es Firewall para filtrado de IP, Puertos....  etc.

Queremos bloquear paginas de navegación comprar Spedra generico, Spedra precio en farmacias en pagina web?  Usemos Proxy.

Saludos.

¿Hay alguna relación en qué sistema operativo?

Estimado, puedes bloquear la creando una regla de bloqueo de las IPS Publicas de la tienda o en todo caso, mejorando las reglas de ACL del SQUID o Dansguardian

Muchisimas gracias estimados.

Era lo que necesitaba.

Saludos

Ahorita no tengo un pfsense para probar, pero una vez hice una implementacion y me andaba volviendo loco y resulta que en donde le dices que quieres pasar todos los puertos creo le habia puesto TCP/IP y le cambie a ANY y hasta entonces dejo pasar un trafico que no podia pasar….. pero no recuerdo buen..

Por cierto si el problema persiste, una imagen dice mas que mil palabras, te aconsejo poner unas capturas de tus reglas,

Valida que no te quedo nada por fuera: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

Sobretodo el parámetro:  Remote Network      en ambos nodos.  de la phase2

Saludos.

Adicional a lo que recomienda periko.

Para que utilizar 2 tarjetas de red?  utiliza una sola y listo, si solo va ser de proxy,  es  como si fuera un servidor mas en la red.  Una sola tarjeta de red, ponle su gw y lo demas de redes o permisos de firewall (no de pfsense).

Tu pfsense esta al dia?

Estoy tratando de hacer algo como lo que hace esta empresa:

https://wifi.garden/

Te recomiendo ver este video, saludos.

Youtube Video

Gracias por la ayuda y sugerencias también por los tips. Agradecido! Cambiare el estatus a Solved o resuelto. Saludos.

Puedes colocar el diagrama de red

Muchas Gracias por tu pronta respuesta, voy a darle una opcion a al fork que me indicas tu, aunque llevo mas de 10 años usando nagios y jamas he tenido mayores problemas

Al final era un problema demasiado estupido pero como yo no podia configurar el equipo del cliente fallaba, el tecnico del otro extremo, habia colocado parte de la IP alrevez, muchas gracias por la ayuda. ;) un abrazo.

Excelente pregunta, me uno al tema. Publicar por favor al conseguir la solucion, ya que en algunas paginas ciertamente te redirige a google, pero en otras te arroja un error como el que menciona el compañero.

@😄:

@rickygm:

hola foro , he estado buscando la opción de hacer raid1 con el pfsense , creo que estaba en diagnostic pero en la ultima version no aparece , ya tengo montado pésense sobre un disco , y agregue uno del mismo modelo y tamaño , pero quiero hacer el raid 1 por software , sin afectar el servicio …

alguna idea ? , pfSenSE ya ve el otro disco.

Si ya tienes montado pfsense, NO puedes agregar un disco asi como asi sin agregar un raid, para crea un raid los discos deben estar formateados en formato raid, posterior a eso deben estar sincronizados para crear las particiones y sistemas de archivos, como ya montaste pfsense en el primer disco debe estar en formato ufs y swap.

Lo mejor seria que montaras desde cero el pfsense pero con los 2 discos conectados para crear el raid, y despues el cargar el archivo de backup hacer esto tomaria entre 30 min y 60 dependiendo de tu hardware

@rickygm:

creo que estaba en diagnostic

cuando tienes un raid creado, en  diagnostic aparece el menu para poder ver el esato de raid, de lo contrario no

Ok , gracias lo tendré en cuenta.

Mano de santo amigo.
Todo funcionando a la perfeccion.
Juraria que habia probado esa regla antes, pero se ve que no.
O quizas la puse y luego puse una similar en LAN y podria ser que con una sola bastara o que la que puse en LAN fuera erronea.
Gracias por su ayuda.
Saludos.

@gorjos:

Tengo que habilitar alguna regla en el firewall para permitir el trafico al puerto 3128? porque hice un Telnet al pfsense al puerto 3128 (el puerto del proxy) y no hay respuesta, es decir, ese puerto no esta habilitado o esta bloqueado. Cada vez entiendo menos…

Si, es importante eso yo uso algo asi

proxy.JPG
proxy.JPG_thumb

Si es obligado que squid autentique.

Por que squidguard es solo el programa que te gestiona los grupos y acl a efectos del filtrado de contenido.

Squidguard recibe de squid bien sea la IP o el Usuario del AD que SQUID le pasa.

El esquema de conexión es el siguiente

Petición de usuario <====================> SQUID <======================> SquidGuard

Pasos:

Usuario envía petición de navegación al proxy Squid valida si la IP o el usuario (cuando autentica) es permitido. (esto seria solo permiso de aceptación). Squid le pasa la IP o el Usuario a Squidguard para que este ultimo se encargue de verificar la IP o el Usuario en que Grupo se encuentra. El acceso es denegado o permitido  de acuerdo a las ACL configuradas.

Saludos.

Cuando dices:  necesito una forma de poder decirle al squid que no realice autenticacion para esas paginas en especifico..

Entonces debes crear las ACL de forma manual en la pestaña General opcion > Avanzado,  Ya que recuerda que pfsense a nivel web no cubre al 100% todas las opciones del squid. Por lo que tienes ese espacio para agregar las acl de forma manual.

Adicional (solo si usas squidguard) debes tener una lista blanca en el squidguard para que la habilites  en el common acl,  ya que sino squid te deja pasar, pero squidguard no.

PD: con los pelos en la mano, si en tu navegador colocas la excepción  a  .bancodevenezuela.com ,  mi hermano ya la navegación es directa sin proxy para esa url, solo debes darle permiso a nivel de firewall (cisco-asa, fortinet, pfsense, etc) para que te permita salir a dicho destino.

Saludos.