¡Hola!

Puede ser que haya alguna interferencia, por error de pfSense o por error en tu configuración, entre el PF (Packet Filter) de las reglas de pfSense y el IPFW (IP Firewall) del portal cautivo.

Varios firewall son posibles en una misma máquina, http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html, siempre que no entren en conflicto.

Esta es la característica aprovechada por pfSense para "añadir" el portal cautivo. Habría que investigar si alguna de las reglas de IPFW está afectando al resto del cortafuegos. Un estudio a fondo requiere ir a la consola SSH y emplear los comandos de PF y de IPFW para ver reglas, estados, etc.

No obstante tienes que tener presente que hasta que un usuario no pase su validación en el portal cautivo, éste le corta todo tipo de conexiones. Por tanto si rehaces las condiciones de tu portal cautivo, los estados en vigor se conservarán (ningún usuario debería perder las conexiones vigentes) pero en caso de tener un usuario validado que quiera realizar una nueva conexión lo lógico es que no pueda. Tendrá que validarse de nuevo, puesto que se ha reiniciado IPFW. Espero haberme explicado …

Saludos,

Josep Pujadas

Gracias por responder, paso a describir mi configuracion, en mi win 2000 server tengo definidas las zonas de mi dominio local tanto la directa como la inversa, como puerta de enlace tengo mi pfsense, como dns la misma dir del win 2000 server, no utilizo dhcp por q algunos de los usuarios, no autorizados a navegar, pueden cambiar sus configuraciones de red y usar este servicio. En mi pfsense tengo como dns primario a mi dns local y lo que hice ahora es agregar dns secundario de mi ISP, tambien tengo activada "Allow DNS server list to be overriden by DHCP/PPP on WAN" que tomaba los DNS que me da mi modem/router, no cambio el archivo host por que son de las pc's por que son 80 maquinas, bueno desp de este cambio voy a ver que sucede, saludos

la verdad no he podido probarlo por el tema de la cache en mi pfsense, al parecer es mas importante que deje navegar que bloquear esas aplicaciones, la verdad estoy como muy trizte con esta situacion

hola, la verdad es eque mi equipo tiene una giga de ram, y ni siquiera estoy usando el 25% de su capacidad, esto con el fin de poner otros servicios en marcha

Para que les funcione bien fijense en colocarle menos o la mitad de la memoria q usa su equipo ejemplo si usa 512 coloquenle la mitad o menos asi les funcionara bien saludos.

si es posible, lo basico que tienes que hacer para que cuando al pfsense le lleguen peticionde de conexion de vpn que es por un puerto especifico, depende de tu configuracion, es decirle que la reenvie a la ip que esta corriendo tu win 2k3 server, eso si tiene que tener cuidado, a quien dejas pasar

Está hablado en http://forum.pfsense.org/index.php/topic,6778.0.html

"Quien busca encuentra", Rabindranath Tagore.

Saludos,

Josep Pujadas

Bueno, realmente tengo tambien abierto el 80 y el 3389 (Terminal Server) y me ocurría también en estos.
Es decir, si insisto en Terminal Server pues llega un momento en que no me puedo conectar durante 1-2 segundos (en este caso un Windows 2003 Server).
Ahora mismo, como una prueba mas, tengo lanzado un cable directamente del servidor (sin pasar por switches) hacia el una boca del router alternativo a PFSENSE. Por ahora no ocurre el problema, veremos durante la tarde.
Tampoco he caido en que pueda inteferir utilizar el puerto 88, incluso a nivel de OS.

En cuanto a Lighttpd, como ya te he comentado, fue una prueba (que al final he dejado instalada, me ha gustado) para verificar que no fuese problema de apache. Realmente en los logs no aparecen problemas y las ips de origen son ips publicas de internet (de la gente que se conecta).
El modulo EVASIVE supongo que por defecto es 0, en mi configuración no existe y tampoco veo la asignación del módulo. Quizás es para la futura 1.5?

En cuanto a la LMDS, se donde cae Granollers, yo soy de Mollet del Valles jeje. En este caso te hablo de una instalación en Barcelona, en la zona de Via Augusta mediante la empresa NEO-SKY (de Iberdrola). Es un simetrico de 4 Mbps.
Pero no creas, estamos buscando alternativas, nos ocurren 3 cosas principales:

Con el mal tiempo (muy mal tiempo) el LMDS se corta. Eso de que sea mediante una antena en el tejado… Por tanto, cuando cae una de esas tormentas fuertes, ya estamos montando el plan de emergencia (OPT1 del PFSENSE). Depende como, casi 1 vez al mes, estamos teniendo microcortes constantes en la conexión que logicamente afectan la estabilidad de las conexiones. Se terminan solucionando solo. Hay algunas IPs a las que no hay acceso. Algun nodo deniega el acceso a la red de NEO-SKY. Por ejemplo los tipicos DNS de telefonica no resuelven si estas detras de NEO-SKY, cosa que si lo hacen si por ejemplo lo estas detras de otras redes como Albura.

Como siempre, ellos dicen que somos los unicos a queines les pasa.

Ademas, cosas como que un dia dejo de funcionar, debido a que un """tecnico""" que subió al tejado para instalar el TDT se apoyó en la antena del LMDS y la desvió de su radio, por lo que 2 días sin conexion a espera de los técnicos tras multiples pruebas. Por tanto, eso de que parte de TU instalacion este en la calle al acceso de algunos....

Estamos buscando alternativas SDSL, tambien algun 4 Mbps a ver que tal, pero por ahora sin exito, sin tener que recurrir a empresas multimercado como Jazztel.

Un saludo!

gracias ….

sanchezluys,

Para hacer lo que pides hay que tener una herramienta capaz de ver si en las secuencias de paquetes que llegan al cortafuegos pueden contener un virus.

snort puede detectar, con sus reglas, situaciones de este tipo:

http://doc.bleedingthreats.net/bin/view/Main/WebSearch?search=antivirus&scope=text

Como ya conoces, tengo un snort externo enlazado con pfSense y se detectan algunas situaciones de este tipo, http://www.bellera.cat/josep/snort2pfsense

snort puede integrar el antivirus ClamAV como preprocesador, http://www.sourcefire.com/products/clamav, pero no lo he probado …

Otra solución es integrar squid y ClamAV, http://www.freebsd.org/cgi/url.cgi?ports/security/squidclam/pkg-descr. Evidentemente en este caso la protección sólo se aplica a la navegación realizada a través del proxy.

Saludos,

Josep Pujadas

Hola a todos y gracias por sus respuestas.

El problema es que la maquina donde intento instalar pfsense es una mini pc, con el disco duro de 2'5'', osea, disco duro de portatiles, y tiene solametne un IDE para conectar el disco duro.

Lo peor no esta ahi, si no qué, el cable IDE solamente tiene un conector (para conectar el disco duro y ya está).

Entonces, he llegado a la conclusión (despues de intentar instalar pfsense por varios metodos), de comprar alguna unidad lectora de 2,5'' que tenga la entrada de IDE de 2,5'' (como los discos duros de portatiles). Necesitaria, una unidad lectora y otro cable IDE para conectar el disco duro de 2,5'' y la unidad lectora de 2,5''.

No tengo idea de donde puedo comprarlo, saben alguna tienda online o algo asi?

Muchisimas gracias por su ayuda.
Espero respuestas.
Saludos.

perfecto.. funciona a la perfeccion..!!

Acabo de hacer la pruebas…
1._ Desconecto DD 1 de los DD scsi y arranco (funcionó)
2._ Desconecto DD 2 de los DD scsi, conecto el DD1 y arranco. (funciono)..
3._ Vuelvo a conectar todo.. y listo
Muchas gracias..!!!

¡Hola!

quisiera saber si esto es posible de implementar manteniendo traffic shaper. Mas adelante quisiera agregar failover pero no se si se podra implementar junto con load blancing con 2 pfsense.

Por lo que he visto en el fórum en inglés parece que se puede hacer balanceo y emplear Traffic Shaper en un mismo equipo. La limitación, si no he entendido mal, es que el Traffic Shaper no es aplicable al pool de balanceo, hay que aplicarlo en parejas de interfases LAN - WAN.

Cuando se define un pool para balanceo suele hacerse con balancing+failover,

http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing
http://devwiki.pfsense.org/OutgoingLoadBalancing

¿esto se puede deber a que no realice la medicion de mi bajada? solo coloque los 5 Mb que supuestamente me da el ISP

Seguramente has sido demasiado optimista. Pocas ADSL dan lo que dice el proveedor. Traffic Shaper requiere su ajuste, http://www.bellera.cat/josep/pfsense/cabal_cs.html

Saludos,

Josep Pujadas

¡Hola!

Igual lo que has encontrado en Google es la respuesta a una consulta que hize yo mismo en el fórum de FreeBSD …

Efectivamente no hay que preocuparse, porque el sistema operativo simplemente advierte que ha tenido que aumentar el buffer.

A mi esto me ocurre en un FreeBSD de pruebas. Aunque no haya que preocuparse, si fuera de produccción igual hubiera cambiado la tarjeta de red. Simplemente como seguridad, porque aunque digan que no es un problema no me gusta tener avisos de este tipo. Da la sensación de que la tarjeta de red sea de "poca calidad".

Saludos,

Josep Pujadas

Hola Sanchezluys

Aquí puedes ver que mejoras o parches introducidos tiene pfSense.

http://blog.pfsense.org/

Por otro lado en este enlace http://cvstrac.pfsense.com/timeline tienes las modificaciones que realizan los desarrolladores de pfSense.

Siempre es recomendado que visites estos enlaces para ver si es buena idea actualizar o no.

Como dice Maaraujo lleva mejoras en IpSec entre otras cosas.

Saludos

Jaume

¡Ojo!

Más seguro en comunicaciones si se emplea SFTP, FTPS o FTPES …

Y si se emplea SFTP (FTP sobre SSH) asegurarse de que los usuarios tienen una shell restringida y sólo pueden hacer SCP (Secure Copy).

Saludos,

Josep Pujadas

¡Hola!

Ojo que una cosa es que:

las interfases de pfSense busquen un servidor DHCP externo para tomar su IP (casilla Type, http://www.bellera.cat/josep/pfsense/config_base_cs.html#interfaces_WAN)

y otra, bien distinta,

emplear el servidor DHCP de pfSense para asignar IPs a equipos que se conectan a pfSense (DHCP Server, http://www.bellera.cat/josep/pfsense/dhcp_cs.html)

A parte de esto, comprobar si tenemos otros equipos haciendo DHCP o no en las redes, tal como te sugieren. Normalmente los routers ADSL y los AP (puntos de acceso) wireless tienen esta función. Si queremos emplear DHCP Server de pfSense, cerciorarse de que la tienen deshabilitada.

Saludos,

Josep Pujadas

Ok.. amigo lo hare manual. aviso mas tarde de loos resultados.

Solucionado…

En el primer caso que le agregue un modulo de 128 megas eran distintos...

y en el segundo caso con un solo modulo de 256 megas, estaba equibocado era de 128 megas...

Le puse 2 de 128 iguales y todo solucionado...

Gracias por la ayuda...

¡Hola!

Insisto en que, según la documentación, cada interfase/red de pfSense tiene que ser una subred distinta, http://es.wikipedia.org/wiki/Subred. O sea que a parte de emplear una red privada, ojo con el juego de máscaras.

Tampoco deben establecerse rutas entre las subredes. Las rutas son para IPs "de fuera" del entorno de pfSense.

Saludos,

Josep Pujadas