Ok, le mandé un mp a MarcelloC. Es un tipo muy correcto, supo responder con exactitud mi cuestión. Sinceramente voy a esperar a la versión 2.3 para realizar el experimento.

@marcelloc:

@rocaembole:

Many thanks for your effort. I'm from Argentina. I want to say thank you. I don't know if you are going to read this, and i don't know if you'll understand my english neither.

I have a question:

It is possible to configure Captive Portal + Squid3 w/ Auth with CP credentials on pfsense 2.2.4?

If it is not: Why?

And there's any version that can do this work? which one?

TYVM for the time you expend reading my MP

Bye, God bless you and your work.

Hi. The problem with cp + squid3 on 2.2 are the pbi package encoding. on pfsense 2.3 pbi are not used any more, so will work without hacks on 2.3

For now you can replace squid pbi binaries with a squid3 freebsd compiled  package.

I have some video lesson that may help if you're not familiar with freebsd ports and compiling.
http://sys-squad.com/sys/curso/48

Gracias por sus comentarios

@ega:

Por curiosidad, actualizar que cosa Bellera? tengo el pfsense 2.2.4

Perdona. Entendí mal lo que dicen en redmine. En versiones anteriores no ocurría y a partir de la 2.2 este es el comportamiento normal en cumplimiento del último párrafo de  https://tools.ietf.org/html/rfc1812#section-3.3.2

Muy interesante el enlace.

Añadido al hilo de Documentación.

¡Gracias!

Gracias!!! por las respuesta,  y por la luz, iniciare con las recomendaciones

saludos

Bueno, si lo que quieres es tener "muchas" interfaces ethernet y no manejar VLAN´S, como comentas que quieres un hardware con el mayor número de interfaces posible, se me ocurre instalar  tarjetas con múltiples interfaces ethernet, como esta

http://www.amazon.com/Intel-Ethernet-Server-Adapter-I350T4/dp/B005ATA17I

Para el dimensionamiento, depende de de lo que vas a manejar, tienes que tomar en cuenta el tráfico que va a pasar por el pfsense, y los servicios que vas a manejar, algunos demandan mas capacidad de procesamiento, otros mas cantidad de memoria.

Chequea la siguiente guía.

https://www.pfsense.org/hardware/index.html#sizing

Saludos.-

En principio se me ocurren las dos que expongo arriba:

Cercanía: si tienes dos redes y un servidor con dos tarjetas en ambas, permitir que en cada Red la resolución de un mismo nombre tenga distinta ip según desde la Red que se solicite. Si sólo dispones de la ip de una de las redes al hacer la petición desde la otra te va a dar la IP de la primera y entonces todo el tráfico va a pasar por el pfSense

Independencia: tener dos redes y permitir que cada una tenga sus propias entradas dns, por ejemplo un wifi que quieras que sólo resuelva una parte de las entradas.

Un saludo.

Se me viene a la mente, LDAP + SQUID con los permisos seteados correctamente para permitir navegacion o no.

Es correcto, al deshabilitar los limiters ya se puede navegar, me queda revisar el tema de delay_pools desde squid. Gracias y un saludo.

https://doc.pfsense.org/index.php/Using_Captive_Portal_with_FreeRADIUS

Originariamente era TCP/UDP 1935 y todavía hay servicios que lo emplean.

Pero para "evadir" los cortafuegos pasaron a emplear TCP 443.

O sea que por puertos, mal asunto.

Mi recomendación sería que mantengas los navegadores bien actualizados. Actualmente los navegadores suelen bloquear FlashPlayer si no está al día.

http://www.elconfidencial.com/tecnologia/2015-09-01/hoy-es-el-principio-del-fin-de-flash-y-por-que-es-una-buena-noticia_995373/

En pfSense se pueden tener reglas de inspección Layer 7 (L7) pero suelen ser incompletas:

https://forum.pfsense.org/index.php?topic=79219.0

Si te preocupa mucho esto se me ocurre que podrías probar usando snort pero eso requiere máquina y bastante ajuste de patrones de inspección.

@Finger:

Si ya tengo cargada la lista de shallalist puedo cargar sobre la misma la blacklist que me recomiendas?

No lo sé. No lo he probado nunca. Lo siento.

Hay muchas soluciones de correo web que incluyen libreta de contactos.

Respondieron en el foro en inglés, https://forum.pfsense.org/index.php?topic=101495.msg566151#msg566151

Hay equipos que no toleran tener dos "slice" (particiones FreeBSD) para arrancar. Hay que cargarse una en un equipo "normal".

https://forum.pfsense.org/index.php?topic=21194.msg109995#msg109995

@Darevas:

gracias por responder, pero es bastante raro
ya que google es https y redirecciona bien
pero paginas como youtube o gmail no lo hace, además siendo de la misma empresa.

Como te han dicho, Google puede iniciarse en modo http y después cambia a https

Y hay servicios que se inician siempre en modo https

Esto es así porque la obligación de https en las búsquedas de Google es de implantación reciente para la privacidad al usuario logueado en su cuenta Google.

Since 2011, google automatically redirect logged-in users to the https search site and this defeats the filters.

http://linuxcentre.net/wiki/index.php/Web_Content_Filtering#The_Google_SSL_Search_problem_and_Google_Apps_for_Education

Un buen chip de una placa LAN, no le genera carga adicional al CPU

Chequea el siguiente enlace (allí recomiendan chips Intel), aparte de explicar porque una mala tarjeta de red le suma carga al procesador, hacen comentarios acerca del dimensionamiento tomando en cuenta otros factores, los cuales presumo que te seran de utilidad  ;)

https://www.pfsense.org/hardware/index.html#sizing

Saludos.-

@lem13631363:

esto lo hago con putty?
Te mueves a donde apunta actualmente
cd /usr/local/

#Borras el sarg-reports
rm -rf sarg-reports

#creas un ln soft asi
ln -s  /usr/pbi/sarg-amd64/local/sarg-reports/

Buena tardes Lem13631363 muchas gracias por tu respuesta, ya había solucionado que me mostrara los reportes tal cual con los mismos comandos ya antes enviados por otro usuario.

ahora la duda que tengo es si puedo programar para que estos reportes solo estén disponibles 30 o 45 días y luego se borren y así evitar que se sature el disco con tantos reportes.

Saludos
Muchas Gracias.

Depende del router, probablemente puedas configurar algo tan particular como esto.

Los enrutadores domesticos, lo dudo (por no decir que me corto la mano derecha jurando que no lo tienen), quizás un mikrotik si puedas hacerlo.

Lo que persigues es decirle al enrutador que le suministre al pfsense la variable que tienes definida en tu portal captivo como "user" y "password" para que así los identifique, ahora como hacerlo, ni idea, jamás he visto en un enrutador doméstico tal opción.

He trabajado poco con el portal captivo (y no recientemente), lo que se me ocurre es aumentar la duración de la sesión, en vez de que tengan que autenticar diario sino 1 vez por semana?

Saludos.-

Buenos dias. revisa esta guia:

http://www.geronet.com.ar/?p=1112

Saludos.-