Ya me contesto yo mismo, según parece, Suricata, de momento no tiene dicha característica.

Gracias!!!!!!

@JOSEIGNACIO77: ya modifique el gateway en pfsense y en mi host pero sigo teniendo el mismo problema de no poder salir a internet Mientras sigas con el GW en la LAN del pfSense, seguiras sin salida a internet. Las interfaces "tipo LAN" no "llevan" GW Revisa/Lee: https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

Creo que mi redacción no ha permitido que me explique bien  :-\ Les dejo una imagen para que tengan una idea lo que que quiero logar. Cada AP está en un lugar diferente por lo que debo presentarle el CP que le corresponde [image: Capture.PNG_thumb] [image: Capture.PNG]

@: Muy importante lo que dice periko. Por otro lado por que no crear un cluester y que todo pase por el (LAN, DMZ y WAN) con eso  tienes alta disponibilidad y una red mas limpia y organizada Finalmente decidí hacerlo con un sólo Firewall, en ves de dos como me sugeriste, en modo HA. Muchas gracias.

Ok, gracias

pfSense, es un programa. Lo que soporte o aguante de velocidad, lo determina la tarjeta de red y no el programa.  En resumen, tiene que reconocer la tarjeta y punto.

Gracias por responder, entiendo y voy a realizar esas configuraciones. Pero tengo una duda si uno pone en modo Proxy explicito y no define ninguna regla en rule del firewall, cualquier pc conectada a cualquier vlan debería si o si no poder navegar hasta tanto no tener configurado el proxy en su navegador, no? o es que si o si hay que configurar una regla diciendo que toda tu lan pase si o si por el puerto 3128? gracias.

Lo que es más. No vas a tener WAN sólo por definir el interfaz como WAN. Primero tenemos que saber a qué te refieres cuando hablas de WAN. Hemos de enternder que por WAN te refieres al intefaz que te conecta con internet cuyo servicio lo obtienes de un proveedor de internet? Si ese es el caso entonces, Qué tipo de WAN tienes? PPPoE, DHCP, estática? Para poder saber cómo configurar la WAN hay que saber qué WAN se tiene y de eso no se ha comentado nada.

Lo que estás buscando es balancear la carga de salida mediante la asignación del default GW a cada cliente. Considerando que tienes un algoritmo que es capaz de saber la carga instantánea que hay en cada uno de los GW disponibles puedes usar el atributo 'Framed-Route' para indicar el gateway usando 0.0.0.0/0 como red de destino, es decir, Framed-Route = "0.0.0.0/0 xx.xx.xx.xx y" siendo xx.xx.xx.xx la IP del GW que deseas asignar e 'y' el valor de la métrica (normalmente 1).

@pozolero: Que tal , saludos a todos en el foro. Tengo pfsense 2.3.1_1 con squid y squidguard modo no transparente de acuerdo con el tutorial de @periko que me trabaja super bien.  Pero recien me acabo de dar cuenta que tengo 2 equipos en la red que me sirven para hacer pruebas que se brincan por el arco del triunfo el squidguard con todo y estar dado de alta en el grupo de usuarios con restricciones.  Y lo curioso es que tengo las ip's dadas de alta en ese grupo y al navegar por ejemplo a youtube, facebook, etc sitios que están restringidos para ese grupo, simplemente estos parece que estuvieran dados de alta en el grupo sin restricción.  Pero los demás equipos que están сomprar мiagra en Madrid aqui dados de alta en ese grupo si están restringidos, solo estos 2 parece que no les afectan las restricciones que tengo al estar dados de alta en este grupo.  >:( :o Pero caso curioso, tengo otro grupo que tiene como regla general en squiguard todo bloqueado, sin navegación a nada y al dar de alta ese equipo en ese grupo le bloquea la navegación total perfectamente… ??? A alguien le ha pasado esto? Cómo lo han solucionado? Gracias por responder Nunca hubiera pensado que esto podría suceder.

@j.sejo1: Hola La clave en estas reglas: iptables -A FORWARD -m string –string "google.com" --algo bm -j ACCEPT iptables -A FORWARD -m string --string "youtube.com" --algo bm -j DROP Es que por defecto como todo firewall, primero el acepta a google y luego bloquea a  youtube. Ahora bien, el -m de iptables,  es para la carga de modulo o para match de regla, en tu caso debe hacer match en la cabecera tcp/ip con el string que le estas pasando. (algo que solo se puede ver a nivel de sniffer, ej: tcpdum) Ahora, iptables a Linux como pf a FreeBSD,  son idénticos en cuanto a que son firewall a nivel de kernel (corrijame si me equivoco). Lo mas probable es que se pueda hacer en PF (Packet Filter) ,  ahora que se pueda hacer en Pfsense como frontend Web?  habrá que verificar. Ahora, como decimos en mi país hacer filtrado web a punta de Iptables puro, es un "FUME". Aquí es donde yo aplico el dicho: Zapatero a su Zapato,  es decir: Dejemos lo que es Firewall para filtrado de IP, Puertos....  etc. Queremos bloquear paginas de navegación comprar Spedra generico, Spedra precio en farmacias en pagina web?  Usemos Proxy. Saludos. ¿Hay alguna relación en qué sistema operativo?

Estimado, puedes bloquear la creando una regla de bloqueo de las IPS Publicas de la tienda o en todo caso, mejorando las reglas de ACL del SQUID o Dansguardian

Muchisimas gracias estimados. Era lo que necesitaba. Saludos

Ahorita no tengo un pfsense para probar, pero una vez hice una implementacion y me andaba volviendo loco y resulta que en donde le dices que quieres pasar todos los puertos creo le habia puesto TCP/IP y le cambie a ANY y hasta entonces dejo pasar un trafico que no podia pasar….. pero no recuerdo buen.. Por cierto si el problema persiste, una imagen dice mas que mil palabras, te aconsejo poner unas capturas de tus reglas,

Valida que no te quedo nada por fuera: https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel Sobretodo el parámetro:  Remote Network      en ambos nodos.  de la phase2 Saludos.

Adicional a lo que recomienda periko. Para que utilizar 2 tarjetas de red?  utiliza una sola y listo, si solo va ser de proxy,  es  como si fuera un servidor mas en la red.  Una sola tarjeta de red, ponle su gw y lo demas de redes o permisos de firewall (no de pfsense).

Tu pfsense esta al dia?

Estoy tratando de hacer algo como lo que hace esta empresa: https://wifi.garden/

Te recomiendo ver este video, saludos. https://www.youtube.com/watch?v=DDdQXhVZToQ&t=1383s