ciao e grazie della risposta
in relatà non ho seguito quella guida ma un altra che è pero uguale.
credo che ci siano due problemi di fondo il primo è se scarico la lista succede che si ferma a

Begin blacklist update Start download. Download archive http://www.shallalist.de/Downloads/shallalist.tar.gz Download complete

se invece creo una lista io con il nome pippo e inserisco un sito come non visitabile il sistema non lo blocca

Grazie Fabio, ci provo. Nel frattempo ho provato Ntop, che su pfsense 1.2.3 funzionava, ma il servizio non parte o meglio parte e si stoppa e vedo che  (con netstat -an) non c'è niente in ascolto sulla porta 3000

ciao,
ho risolto il problema, mi ero dimenticata di aggiungere la regola per l accesso alla webgui.
grazie per il supporto!

controllando che non sia flaggata l'opzione "block private network" in interfaces -> wan;
ho creato il seguente port-forwarding in firewall -> NAT -> Port Forwarding:

If Proto Src. addr Src. ports Dest. addr       Dest. ports  NAT IP        NAT Ports
–----------------------------------------------------------------------------------------------

WAN TCP         *             *         10.0.10.1/24 80 (HTTP)  192.168.0.139 80 (HTTP)

Ovviamente ho impostato l'indirizzo della porta WAN in modo statico a 192.168.0.139.

p.s. l'unico dubbio rimane il modo con cui, sul defunto server, il programmatore avesse impostato un default gateway diverso dalle due reti (LAN e WAN).
se qualcuno sapesse fornirmi qualche notizia lo ringrazio anticipatamente.

Quindi:

creo altra macchina virtuale con virtualbox con un qualsiasi sistema operativo (Windows, Linux,..) configuro la nuova macchina virutal con una scheda di rete interna ora dalla nuova virtual machine posso sia entrare nella pagina di admin di pfsense, sia far apparire l'interfaccia del captive portal

Mentre io ora ho la mia macchina virutal pfsense, e tutte queste prove di captive portal le sto facendo da firefox (ho provato sia con, sia senza proxy), ma di interfaccia captive portal non se ne ha traccia.

Questa regola:

"Network 192.168.1.0/24" a "LAN address"

permette al massimo il traffico DNS se si usa pfSense come DNS server (meglio dire DNS forwarder), non certo la navigazione internet che di default è permessa per le interfacce interne.

@Ma.S.Caos.-:

Allora, son tornato ed ho fatto la prova.
In effetti puoi usare il Captive portal per il tuo scopo(per quanto dal mio punto di vista non è la scelta migliore).
Lo puoi attivare senza autentificazione, tieni presente alcuni particolari:
devi per forza di cose associare un interfaccia, che per tanto sarebbe meglio avere un interfaccia dedicata per i pc su cui vuoi operare.
anche se metti senza autentificazione ti chiede comunque il login, basta dare l'ok e va avanti ma lo chiede comunque.
impostanto nella pare del MAC i MAC dei client su cui vuoi operare non chiede + il login e puoi limitare la banda.

Ciaoz.-

infatti io avevo provato nella parte del MAC i MAC dei client e sembra funzionare, non vorrei che poi effettivamente non limitasse tutto il traffico …

se hai già una configurazione funzionante per loggare il traffico basta mettere la sputa su "Log packets that are handled by this rule" nella regola del firewall che permette il traffico dei tuoi amici.

trovata la soluzione. Creato regola abilitando la nat reflection.

Grazie comunque a chi ha letto il post.

Ho risolto .il problema. La soluzione era piuttosto banale, semplicemente il cliente aveva duplicato l'IP privato dell'Aethra!!! ( >:(  >:(  >:( )

Sistemato questo problema tutto si è messo a funzionare (e ti credo…  ;D )

La configurazione funzionante alla fine è risultata questa:

NAT 1:1 tra l'ip privato dell'Aethra e un ip pubblico sulla connessione che il cliente vuole usare per la videoconferenza

Regola in ingresso che consente tutte le porte TCP/UDP

Regola in uscita che consente tutte le porte TCP/UDP

Le regole sono un po' lasche, ma di solito l'Aethra è spento, quindi il rischio è minimo.

Concordo: sembra proprio un problema di instradamento di FW.

Uppete

Sicuro che gli Alias siano giusti ?
Così come son scritte le regole son giuste.

Per cui le possibilità son 2 … o gli alias non sono giusti (magari prova a scrivere gli intervalli a mano tanto per verificare) o c'è qualche altro bagolo :|

Prova anche a riavviare il firewall che non ci sia qualcosa di appeso.

Ciaoz.-

PS: attento alle regole any to any :D.

ho risolto, ho inserito in Static Routes una rotta, ora navigano. ;-)

ho risolto …. pfsense era configurato correttamente, il problema stava sul router che avendo la possibilità di 2 servizi voip bloccava la 5060 in udp;
grazie dell'aiuto ....

Questa sera provo a casa … ma temo che al momento non funzioni.

Mi son letto un po' di post lato internazzionale ma per non funzioni.

Sebra ci sia un bug sui filtri l7
http://redmine.pfsense.org/issues/636

Io ho un 2.0.2 e questa sera provo. Poi ti faccio sapere.

Ciaoz.-

PS: in ogni caso se il traffico viene cifrato, cosa ad oggi possibile, non riesci a bloccarli nemmeno con gli sw hp :| … l'unica è mettere un proxy in mezzo, ma che 2 sfere. :D

A be … modem della telecom, non è che è un modello VoIP vero ?

In ogni caso + che la DMZ io userei delle port forware precise per essere sicuro.

Anzi per essere più sicuro userei un router su cui posso "lavorare" e tornerei al netgear o qualcosa di + spartanto dove però ho la certezza che quello che faccio è giusto.

Il principio è :

INTERNET ---> ROUTER || PORT F. VERSO L'IP WAN DI IP O UN IP ALIAS WAN DI PF ... || PFSENSE  || NAT O PORT F. SUL IP LAN CHE TI INTERESSA.

ATTENZIONE: tendenzialmente il port f. ragiona alla rovescia della nat, se credo un port f. su pf gli dico l'interfaccia sui cui lavoro, la sorgente (tipicamente any ... ovvero tutti), la destinazione (ovvero l'ip sull'interfaccia sui cui lavoro) e l'ip sui cui devo ridirezionare il traffico e relativa porta.
La nat (nella sezione manual out) è + o - al contrario ovvero come la classe di rete si comporta quando esce da quell'interfaccia.

Mmmm … un po' pochino su cui lavorare.
Hai due linee internet, hai abilitato balance o il traffico è deciso da regole di nat manuali ?
Se provi a fare un ping o un tracert che tipo di msg hai dalla shell ?
Regole particolari sul firewall ?

Ciaoz.-