Muchas gracias alopez, lo voy a probar y te cuento como me fue.

Saludos, Maxi

Hola maxi:

Primero de todo disculpa el retraso, es que en estas fechas…

En cuanto a lo que me preguntas, he abierto un topic aparte ya que ese tema quizá se escape un poco al failover dhcp. El topic al que me refiero es: http://forum.pfsense.org/index.php/topic,7367.0.html

Espero que te sirva

¡Perfecto!
Funciona sin problema (a la primera). Muchísimas gracias. :D :D

Con respecto a la resolución DNS de mi servidor web probé lo de poner una regla en la WAN para admitir todo el tráfico, pero no funciona. De momento DNS forwarder me sirve, de todas formas intentaré buscar alguna manera para que se pueda acceder a la IP externa  desde la LAN. Si consigo algo (que lo dudo) lo comentaré en el foro.

Aprovecho para desearte/aros lo mejor para este nuevo año, y de nuevo muchas gracias por la ayuda.

Un saludo.

Muchas gracias,

incluida la ruta en Local Network todo correcto.

Muchas gracias de nuevo.

Feliz Navidad y Feliz Año a todos.

Hola!, gracias por responder señor bellera, voy a postear el mensaje en el apartado que mencionas y si logro solucionar el problema les aviso…

Atte. ElDemonio ;D

Buenas y Feliz Navidad a todos,

con respecto a mi problema, aunque he seguido tus indicaciones no he conseguido nada.

Aparte de que no me aparece esa ruta que me has indicado para detener el snort, me aparece que no tengo ninguna, por que no que creo que el snort sea el problema.

He probado a reiniciarlo varias veces y lo que si he podido observar es que me aparece que:

Starting WebConfigurator…...... failed

El motivo de esto lo desconozco.

Una vez iniciado el PFSense utilizo la consola para reiniciar el servicio de WebConfigurator y en ese caso me aparece como done pero sigo sin poder conectarme via web.

Creo que al final, me va a tocar reinstalar.

De todas formas gracias por vuestra ayuda.

Eso si, si se os ocurre algo, no dudeis en comentármelo.

Un saludo

En mi caso solamente permití la salida a internet desde la LAN a la IP del servidor Proxy de esta forma obligo a todos los usuarios a "pasar" por el proxy para ir a internet. El proxy lo tengo instalado en otra pc, y le aplico reglas de filtrado del estilo "lista blanca", esto es, porque se me hacía muy engorroso tener que estar bloqueando todas las IP o dominios a los que quería que NO se acceda. Entonces solamente permito el tráfico a las IP o dominios presentes en la "lista blanca" y deniego el resto. En el caso de que se necesite navegar por otro dominio o IP, lo agrego a la "lista blanca" y listo.
Este método inclusive evita que la gente quite la opción de navegar por el proxy porque si la quita nunca podrán acceder a internet, haciendo más sencilla la tarea del administrador ya que no hay que restringir la configuración de los navegadores web o de los programas P2P.
También tengo configurado un túnel VPN a través de internet con otro PfSense en otro sitio y las reglas de bloqueo no se meten para nada con el funcionamiento del túnel VPN, es decir, que anda perfectamente.

Saludos

Gracias por la pronta respuesta, voy a hacer lo que me aconsejas y despues les cuento.

Saludos

Perfecto, lo pruebo y posteo como me fue.

Saludos

¡Hola de nuevo!

Con respecto a los paquetes bloqueados por el firewall eran paquetes TCP con origen en el puerto 25 de mi MailServer y con destino una IP externa a un puerto de usuario.

Una transmisión así no parece tener sentido. ¿No era al revés? Los usuarios de Internet (origen) se conectan desde cualquier puerto a tu servidor de correo (destino) que escucha en el puerto 25. Y tu servidor de correo (origen) debe emplear un puerto cualquiera para enviar el correo a otros SMTP (destino) que escuchan en el puerto 25.

Se me ocurre que igual formaban parte de respuestas de tu servidor, cortadas por algún motivo. Igual simplemente se trataba de un fallo temporal de la conectividad a Internet. A veces pasa que te vuelves loco porque una cosa no funciona y resulta que el problema está fuera …

Y de nuevo aprovecho para preguntar algo, existe algún tutorial de como añadir los paquetes de IDS para cortar messenger a nivel de paquete?

Tienes tres soluciones:

*** Bloquear el rango de IPs de Microsoft. Algo drástico …
*** Instalar squid y establecer reglas de bloqueo, como ya te han dicho.
*** Parece que hay un proxy específico para esto, http://www.imspector.org/#2 y que está disponible como paquete de pfSense. Algunos usuarios andan con ello, pero me parece que había algún problemilla. Busca en el foro por imspector ...

Saludos,

Josep Pujadas

Gracias Bellera ! ya lo hice y al parecer todo bien !

¡Hola!

Desde tu red tienes que poner la IP privada que tiene tu servidor web …

Ejemplo:

LAN de pfSense -> 192.168.0.1/24
Servidor web ----> 192.168.0.2/24
Cliente ----------> 192.168.0.3/24

Entonces en el cliente habría que poner http://192.168.0.2, con lo que la comunicación va del cliente al servidor web y viceversa. No pasa, para nada, por pfSense.

Seguramente habrás puesto tu IP pública en el navegador. No puedes poner tu IP pública porque estarás haciendo una petición de ida y vuelta a tu router, que no tiene sentido hacerla y seguramente tus reglas no permiten.

Que no puedas ver tus páginas también puede depender de la configuración de la máquina donde tienes el servidor web y del propio servidor web. A veces las máquinas tienen su propio cortafuegos (caso de WinXP o el servidor web tiene configurado que sólo se pueda acceder desde determinadas IPs).

También podría ser que en lugar de teclear IPs en tu navegador estés tecleando el nombre de la máquina. Una vez más, la resolución DNS seguramente te dará como respuesta tu IP pública. Si quieres obviar este problema y que se pueda acceder al servidor web por el mismo nombre de máquina que desde el exterior, entonces lo que tienes que hacer es emplear el [DNS forwarder] de pfSense. Esto te permitirá "engañar" a tus clientes para que vayan a la IP privada en lugar de la pública.

Saludos,

Josep Pujadas

Tal como dices, he dejado en blanco las Custom Options, he reiniciado y funciona!

Muchas gracias por vuestra ayuda

¡Hola!

Debe haber diferencias de ajuste entre los kernels de FreeBSD usados por m0n0wall y pfSense. O bien podría tratarse de ACPI. Podría ser que m0n0wall desactive ACPI por defecto y pfSense no lo haga:

The use of ACPI causes instabilities on some machines and it may be necessary to disable the ACPI driver, which is normally loaded via a kernel module. This may be accomplished by adding the following line to /boot/device.hints:

hint.acpi.0.disabled="1"

http://www.freebsd.org/releases/6.2R/hardware-i386.html#PROC

Saludos,

Josep Pujadas

¡Hola!

no logro de entender como hacer trabajar el el pfSense con el Squid (para hacer cache) y filtrar los contenidos con el SquidGuard. He revisado tu excelente manual pero no tienes ningún apartado que hable del SquidGuard. Si tienes algún enlace para que pueda ojear te lo voy agradeciendo desde ya (si está en castellano doblemente agradecido)

Como prestación adicional, pfSense LiveCD permite (una vez instalado en disco duro) la adición de paquetes FreeBSD especialmente ajustados para pfSense. Entre ellos está squid. No estoy seguro que esté squidguard. squid permite tener una cache y realizar algunas funciones de filtrado. squidguard es un redireccionador para squid, que permite hacer filtrado de una forma más potente. Existen otros redireccionadores para squid, como dansguardian.

El squid que lleva pfSense está bien para una primera aproximación a este popular servidor proxy, pero si quieres tener una cache potente con un filtrado ajustable, análisis de accesos, etc, etc hay que pensar en montar una solución a parte de pfSense.

En el tutorial no hablo de paquetes porque lo hice en base a las primeras configuraciones del pfSense que tengo en producción y este es Embedded, sin paquetes.

La web oficial de squid es http://www.squid-cache.org y la de squidguard http://www.squidguard.org

Hay mucha documentación en la red, también en castellano. Sólo hay que buscarla, con Google. Un problema importante es que mucha de la documentación se refiere a versiones antiguas y la 2.6 actual tiene algunas diferencias, todas ellas bien explicadas en squid.conf …

Si no quieres complicarte, hay una empresa que ofrece un squid + squidguard empaquetado en versiones libres y comerciales: http://www.safesquid.com/html/portal.php?page=126 No conozco el producto pero tiene buena pinta ...

Saludos,

Josep Pujadas

hola buen dia quisiera saber como bloqueaste el p2p por horarios agradeceria una informacion detallada de como lo hiciste gracias ya que lo vi en tu configuracion y como haces para meter los alias en las reglas de corta fuegos cualquier informacion visual estare agradecido

Yo tengo el mismo problema. Tampoco he conseguido que las STICKY CONNECTIONS funcionen correctamente.

Una solucion temporal, consiste en crear una RULE previa a la del balanceo de carga HTTP, y que controle las conexiones seguras HTTPs, etc, para que se le asigne siempre la misma puerta de enlace, dejando el resto de navegacion al balanceo (otra RULE podria controlar la IP de destino y encaminar en consecuencia).

El balanceo en HTTP en ciertas paginas con inicio de sesion en las que el servidor controla el origen de las peticiones probocan estos errores.

Saludos.

:(  bueno, muchas pruebas y nada, con la version que me recomiendas bellera y nada… sigue dando ese mensaje de supuesto error, ya tengo 2 equipos operativos, vamos a ver como se portan, aun asi postee el caso en ingles    :-\  ...

hasta luego...

sep, creo que me mande un bardo jajaj
veo mejor y posteo
tnx

¡Hola!

coloque como primer dns la ip del pfsense, y dns secundaria una de las dns del proveedor, este ultimo funciona, lo que no se es como agregar los otros dos dns del proveedor en el dhcp server…

En la interfase web sólo se pueden poner dos en [System] [General Setup]. Los dos tienen que ser fuera de pfSense, no hay que poner la IP de pfSense. Por tanto, puedes meter ahí los DNS externos, de tu ISP, hasta que no tengas un DNS propio (si lo quieres).

Para tener más DNS externos tienes que guardar config.xml en un ordenador, copiarlo y editarlo:

<dnsserver>AAA.AAA.AAA.AAA</dnsserver>
<dnsserver>BBB.BBB.BBB.BBB</dnsserver>
<dnsserver>CCC.CCC.CCC.CCC</dnsserver>
<dnsserver>DDD.DDD.DDD.DDD</dnsserver>

para después volverlo a cargar …

La edición de config.xml es un truco que permite meter cosas no previstas en la interfase web. La pega es que significa el reinicio del cortafuegos y que si modificas la sección correspondiente con la intefase web pierdes los cambios realizados por este método.

En el DHCP server no es imprescinbible poner DNS. Tal como dice "NOTE: leave blank to use the system default DNS servers" si no se pone nada se emplean los definidos en el sistema. Si quieres meter más igual se puede hacer con el truco config.xml. Pero yo no tengo ninguno puesto, con unas 200 máquinas por DHCP ...

los wins no los estoy utilizando

WINS sólo es necesario en caso de emplear Samba/CIFS en varias subredes. Como el protocolo de compartición de archivos (el entorno de red) de Microsoft no es enrutable WINS permite "ver" los servicios Samba/CIFS que están en distintas subredes.

si deseo montar un dns aparte cual me recomiendas?

Yo siempre he usado named (bin9) ya que con FreeBSD viene por defecto y sólo hay que activarlo y crear las zonas:

http://www.freebsd.org/cgi/man.cgi?query=named&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&format=html

http://www.isc.org/index.pl?/sw/bind/index.php

Saludos,

Josep Pujadas