Una posible solución es hacer backup a un PC seguro, editar el config.xml y volver a cargarlo.

Igual tienes la opción de backup de sólo esa parte y restore de la misma una vez editada. A verificar.

Ejemplo de delay_pools que tenemos puesto en Documentación, en lo alto de este foro:

https://forum.pfsense.org/index.php?topic=74595.0

Para las ACLs creo que también las puedes meter tranquilamente en Services - Proxy Server - General - Custom Options o usar Services - Proxy Server - ACLs

Bueno gracias periko por la respuesta, les comento que las vm que tengo tienen conexión a el AD de la empresa por tal motivo el nat me trae problemas, con respecto a crear un pool esto no interfiere si yo tengo marcada la opción de solo permitir las direcciones señaladas del pfsense, o no interfiere y me va a permitir crear un pool de ip's

Gracias por la respuesta bellera

http://es.wikipedia.org/wiki/Simple_Object_Access_Protocol

Saludos, gracias por la pronta respuesta, voy a estar revisando todo ya que me confirman que uno de los router esta en el Switch de la LAN y por tanto tiene una IP de la LAN,  :-X :-X :-X esto lo estare cambiando y les dejare saber los resultados.-

Muchas gracias, perdón la respuesta tardía estuve por fuera un tiempo, voy hacer lo que me dices y comento como me fue.

10.0.0.0/8 –---> 10.0.0.0 - 10.255.255.255

10.1.0.0/16 ----> 10.1.0.0 - 10.1.255.255

Solape de rangos. Desastre seguro.

Estás con un enrutador. Los rangos de cada interfase deben ser distintos, sin solapamiento.

http://www.subnet-calculator.com/cidr.php

Compré uno hace cuatro años, https://forum.pfsense.org/index.php?topic=34805.msg180241#msg180241

http://routerboard.com/

El software propietario va incluido en los equipos.

Por donde estoy se emplean mucho en https://guifi.net/es/node/37161

Repaso/actualizo el tema…

1. Las reglas de bloqueo con los alias va bien tenerlas si tienes detectados los juegos de IPs de cada servicio. Pero NO son imprescindibles.

2. Tus reglas están permitiendo salir directamente hacia internet sin pasar por proxy, a menos que tengas proxy transparente. Y si tienes proxy transparente debería ser squid 3.x con intercepción SSL a fin de poder filtrar los destinos TCP 443 (https).

3. Para los servicios de correo externos crea alias con los nombres de los servidores de correo empleados y autoriza sólo esos destinos. Dejar ir a todo el mundo hacia cualquier SMTP, POP3, IMAP es un importante agujero de seguridad. No recuerdo si UltraSurf explota eso, pero lo puede hacer cualquier virus que convierta un equipo en spammer.

4. Innecesario y no recomendable que tus clientes vayan fuera a resolver. UDP 53 no debería estar autorizado. pfSense hace de DNS. A partir de pfSense 2.2.x, con DNS Resolver (unbound) por defecto. Antes, con DNS Forwarder (dnsmasq). Si tu red es grande. monta un segundo DNS local. Más seguridad y más eficiencia resolviendo localmente, pues tendrás tu propia caché DNS.

5. Modos de trabajo del proxy squid

5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100).

5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional.

5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x.

6. Reglas squidGuard (filtro avanzado para squid)

6.1. Denegar por nombre todos los dominios afectados: facebook.com facebook.net ultrasurf.us ultrasurf.es ultrasurf.com ultrasurf.org ultrasurf.net
Veo que son muchos. Esto te lo puedes saltar y denegar por palabra (6.2.)

6.2. Denegar por palabra: facebook ultrasurf proxy

6.3. Activar !in_addr. Esto tiene algunos efectos colaterales. Por ejemplo, los adjuntos de hotmail.com. Desgraciadamente Microsoft no usa nombres DNS para eso, si no ha cambiado.

Creo que no me he dejado nada. Eso es lo que tengo en una instalación donde UltraSurf no pasa. En ella tengo proxy NO transparente con squidGuard.

¡Fantástico!

Ciertamente calomel.org es un sitio muy recomendable para BSD…

Contains "how to's" covering open source programs for OpenBSD, FreeBSD, and Linux.

Gracias ptt lo voy a tener en cuenta.  Ahora estoy tratando de configurar un 3G USB. Apenas pase ese tema sigo con las reglas.

config.xml tiene TODA la configuración de pfSense, a menos que hayas modificado código PHP, hayas hecho algún script…

Procura usar la utilidad de Backup y guardar tu config.xml en PC seguro.

Es la forma de poder restaurar un pfSense desde cero en pocos minutos.

Igual soy algo paranoico en seguridad pero siempre que hago cambios a mis pfSense realizo backup de config.xml en PC seguro.

saludos totalmente posible mi estimado y de acuerdo con el compañero existe mucha documentacion sobre esto y se trata de no duplicar temas en el forum para hacerlo mas efectivo y llevadero para todos!

muchas gracias sensei ballera. todo quedo arreglado. mil gracias.

:D :D :D

https://github.com/freebsd/freebsd/tree/master/share/syscons/keymaps

cd /usr/share/syscons/keymaps fetch https://github.com/freebsd/freebsd/raw/master/share/syscons/keymaps/spanish.iso.kbd

https://forum.pfsense.org/index.php?topic=44827.0