ok muchas gracias

Holas de nuevo.

Pues nada, que podeis dar por cerrado el tema… je je je Tenía puesto el bloqueo de redes privadas en la Wan. Ha sido quitarlo y comenzar a tirar la cosa más fina que todo.

Gracias y saludos.

Si es una lastima?

Ya que cuando uno esta muy ocupado se le olvida activar las reglas…

Un Saludo...

Me habian dado datos falsos, sorry.
los IP de los 2 WAN son exactamente las IP de los "router"
Claro que los WAN estan en otro range, perdonen ;-)

Voy a tratar primero de hacer todo con VMWARE antes hacer tonterias ;-)
Las ideas estan las bienvenidas

Un saludo desde Belgica ;-)

Gracias sanches luis, lo que dices de configurar el dchp para mandar ip de acerdo a la mac ya lo habia hecho. al principio. pero en algunos clientes poco potentes se me pega el dchp y da ip nula.

Y que pasaria si algun usuario con mac clonada le pone ip manual….

Si me mandaria un log el pfsense????

Bueno toca hacer pruebas...

Gracias por las sugerencias...

Pues solo comentaros que la solución de hacer bridge con las dos interfaces + squid (en modo no transparente) funciona perfectamente. Es decir, el servicio de proxy montado de esta manera funciona perfectamente.

Tan solo tengo un problema con el bridge filtering que os comentaré en otro post específico para este problema.

Gracias a todos. Saludos

Antonio,

Probé con una configuración similar a la tuya, pfSense+Squid, y sí puedo acceder a la página.

Saludos

Miguel Ángel Araujo
México

Problema solucionado… como suponiamos con redireccionar los hosts era suficiente... el problema no era del pfsense.

saludos y gracias nuevamente

¡Hola!

Puedes utilizar VLAN (pero no todas las tarjetas de red lo soportan) o bien crear alias con los rangos de IPs que desees "separar".

Tanto en un caso como en el otro tus reglas tendrán que estar en consonancia con las subredes que manejes. ¿Lógico, no?

En todo caso si no queda claro el tema expon tu topología de red con más detalle.

Saludos,

Josep Pujadas

¡Hola!

¿En qué está basado Mikrotik? Porque en su web no sé ver http://www.mikrotik.com cuál es el origen de su sistema operativo.

Por lo que dices podría haber alguna incompatibilidad de hardware. Tendrías que postear el reconocimiento de tu hardware por parte de pfSense. En una consola SSH puedes hacer:

cat /var/log/dmesg.boot

También iría bien tener la salida de la orden:

pciconf -lv

Saludos,

Josep Pujadas

HOLA BELLERA Y HOLA A TODOS EN EL FOROS GRACIAS POR LA AYUDA …

CLARO YA HE OBSERVANDO LAS COLAS Y ESE PROBLEMA LO TENGO EN MI RED PRINCIPAL YO MONTE UN PFSENSE DE PRUEBAS EN MI CASA PARA SOLUCIONAR ESTO Y ALLI NO TENGO A NADIE CONECTADO HACIENDO DESCARGAS SOLO YO HACIENDO PRUEBAS .... LES COMENTO YO TENIA MONTADA LA 1.2 RC3 Y FUNCIONABA A LA PERFECCION POR 6 MESES EMPEZO A TENER ESTE PROBLEMA Y LO CAMBIE A LA RC2 Y SOLVENTE EL PROBLEMA EN OTRA RED .....

AHORA MONTE ESTE RC2 Y ME DA EL MISMO PROBLEMA LOS CORREOS ADJUNTOS DE HOTMAIL DESCARGAN A UNA TASA MAXIMA DE 4 KBPS.....  HE PROBADO VARIAS COSASPERO SIGUE IGUAL ME BAJE DE LA VERSION 1.2 RELASE PARA PROBAR Y LA RC1  AHORA ME DI CUENTA DE ALGO QUE EN EL MOMENTO DE LA INSTALACION DEL RC2 ME DIERON VARIOS ERRORES QUE ANTES NO LOS HABIA VISTO PERO NO LOS ANOTE AHORA MI DEDUCCION FUE ESTA PROBABLEMENTE LA IMAGEN CON QUE INSTALE PODRIA ESTA DAÑANA ... PERO ESO LO VOY A VERRIFICAR HOY......

Gracias por la respuesta ya esta funcionando openssh con sftp, funciona bien ahora tengo que compilar php para que el programador pueda utilizar esta funcionalidad. Saludos

Hola,

yo trabajo en la Universitat Politecnica de Catalunya, como técnico de sistemas de un departamento. Durante dos años he tenido IPCop, y ahora he cambiado a pfSense. Motivos:

Imposible redundancia de manera facil en ipcop. Las reglas en ipCop las debes hacer o mediante el fichero de arranque (con iptables), o mediante productos externos (yo tenia Block Outgoing traffic, pero solo era para tráfico de salida) Imposible Captive Portal Soporte para hardware mucho menor que pfSense En dos años (no me esforcé demasiado, eso si), no pude poner en marcha la VPN. Los addons son más inestables que en pfsense, y van demasiado ligados a la versión, con lo que cuando sale una version nueva de ipcop, tienes que decidir en actualizar y perder los addons, o mantenerte 'obsoleto' un tiempo

Aun asi, es una buena solución, y como digo, la tuve dos años, hasta que encontré pfSense.

Saludos

¡Hola!

No lo he probado pero tendría que ir. PF (Packet Filter) y ALTQ (Traffic Shaper) están estrechamente relacionados:

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-pf.html

Saludos,

Josep Pujadas

100% de acuerdo.

Hola Miguel Ángel,

Decirte que ya lo solucioné, estoy usando una screened subnet, si miras en internet hay cientos de diagramas sobre esto. Se trata de una configuración donde la DMZ está flanqueado por dos routers/cortafuegos, uno de ellos da a la red insegura (internet), el otro está conectado a la LAN interna, la porción de red física que queda entre ambos routers es la screened subnet (DMZ). Aquí es donde se configuran los Hosts Bastions.

Después de toda esta verborrea, decirte que lo he solucionado, y el problema es mi poca experiencia con pfsense, resulta que el asistente configura una red por defecto para dejar pasar el grupo de IP de la red local y lo llama "LAN subnet" o algo así. El problema es, parece ser, que esta subred la construye en base a la dirección de red de la interfaz que está conectada a la screened subnet, y esta dirección de red es distinta a la dirección de red de la LAN Interna. Mi primer router que da a la LAN no hace NAT (ni falta que hace), está enrutando, por tanto a pfsense llegan los paquetes capa 3 con las direcciones de red de mi LAN. En definitiva que el firewall de pfSense se está comiendo los paquetes con patatas ya que no tenía una regla que permitiese dichos paquetes.

Saludos

¡Hola!

Por lo que dices deseas tener colas por cada cliente, no por cada tipo de conexión.

El asistente de Traffic Shaper crea las colas por tipo de conexión y sus reglas correspondientes.

Respetando la estructura de colas (madre e hijas) y sus reglas crea (a mano) las tuyas propias, por IPs.

Saludos,

Josep Pujadas

Hola!

En la interfase web puedes permitir y denegar todos los puertos que deseas, uno a uno o en bloques (utilizando alias). Es esta tu pregunta?

No puedes contactar con tu proveedor para que no te bloquee puertos. A mi me paso lo mismo y tuve que contactar con ellos para poder controlar todos los puertos.

Otra solución es utilizar el pfSense como proxy transparente.

http://pfsense.trendchiller.com/transparent_firewall.pdf

Saludos