Descargas Directas
-
A ver, a ver… resulto pesado pero entonces ¿tienes en una misma maquina pfSense en modo bridge, squid en transparente, Captive Portal y ademas balanceo con dos WAN?..... Voy a instalarlo ahora mismo en una máquina para probar¡¡¡¡
Saludos...
-
Hola!
Gracias Bellera por tu paciencia y tu sobre todo por dedicarme tu tiempo.
1º A la respuesta de EMY, lo tengo todo en una maquina ;)
El alias que tengo, lo decia para entender algo generico, ya que justo el nombre que tenia era DescargasDirectas.
Este alias (DescargasDirectas) esta definido exacatamente en Firewall-Aliases.He puesto el bloqueo en LAN(La 1º regla), en Wan y Wan2.
Pero aun asi las Ips que pongo en el alias las meto en el explorador y me sigue accediendo a ellas…
Probablemente sea por el proxy trasparente.
Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines... ¿como lo deberia realizar?
¿Simplemente quitando la casilla de proxy transparente? ¿asi la detecta el explorer de cada usuario?
Muchas gracias por enesima vez Bellera.
Saludos,
Adrián
-
Hola!
Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines… ¿como lo deberia realizar?
- Desactivar proxy transparente
- Alias de puertos de navegación: 80, 443, 8000:8100
- Regla de bloqueo en LAN para el tráfico (que no tenga por origen el proxy) y que tenga por destino el alias de puertos. Digo entre paréntesis "que no tenga por origen el proxy" porque tengo a squid en una máquina a parte. Si el proxy es el propio pfSense supongo que se puede obviar …
- Comunicar a los usuarios que deben activar el proxy en su navegador. De lo contrario, no navegarán. Tres métodos posibles:
**** Activar búsqueda del proxy en los navegadores.
**** Emplear archivo proxy.pac, http://forum.pfsense.org/index.php/topic,7367.0.html
(es la opción más flexible)
**** Introducir IP y puerto del proxy.
Saludos,
Josep Pujadas
-
Muchas gracias como siempre Bellera.
Hare lo que me has recomendado, pero el problema que lo tendre que hacer poco a poco ya que al tener 200 usuarios siendo mas del 90% gente que no tiene ni idea de ordenadores me saldra peor el remedio que la enfermedad ya que tendre que estar configurando 1 por 1…
Me imagino que explicando que activen las busqueda de proxy en los navegadores no sera muy dificil, ya te contare y como siempre gracias por ayuda.Saludos,
Adrián.
-
¡Hola de nuevo!
Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.
Saludos,
Josep Pujadas
-
hola
lo que podes hacer tambien es asignarle una ip en dns forwarder
o sea
que rapidshare.com sea 192.168.1.1 o algo asi
eso si, vas a tener que bloquear la salida dns hacia afuera
saludos -
Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.
Hola… esto es lo que yo estoy pensando hacer y aprovecho este hilo. Necesito... Portal Cautivo, Squid, Balanceo de carga y Traffic Shaper. ¿De que lado de las WAN y LAN pondrias cada cosa repartidas en dos equipos?... por ejemplo:
Lado WAN y WAN1: Equipo con pfSense en Balanceo de carga y Squid
Lado LAN: Equipo con Captive Portal y Traffic ShaperEs un ejemplo... ¿de que manera lo tenéis o lo haríais een caso de necesitar estos servicios?.
Saludos
-
hola
lo que podes hacer tambien es asignarle una ip en dns forwarder
o sea
que rapidshare.com sea 192.168.1.1 o algo asi
eso si, vas a tener que bloquear la salida dns hacia afuera
saludosEs verdad, me había olvidado de esta posibilidad. Haciendo esto y no permitiendo acceso a DNS externos por parte de las estaciones quedaría resuelto.
Saludos,
Josep Pujadas
-
Lado WAN y WAN1: Equipo con pfSense en Balanceo de carga y Squid
Lado LAN: Equipo con Captive Portal y Traffic ShaperNo lo veo mal. Mi única duda es si un squid transparente en pfSense es capaz de aprovechar el balanceo.
A ver si alguien lo tiene …
Saludos,
Josep Pujadas
-
-
Hola!
Segui las instrucciones de Bellera y quite el proxy.
Ahora me funcionan las reglas perfectamente.
¿Entonces si quisiera bloquear los p2p totalmente con poner en LAN y las descargas directas esto valdria?:
Block. Protocolo: TCP, Source: any, Port: Any, Destination: Alias"DescargasDirectas"(Con las Ips de megaupload, etc.), Port:Any, Gateway: Default
Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetTCP"(Con los puertos 80,443, etc), Gateway: Default
Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetUDP"(Con los puertos 53,119,) , Gateway: Default
Pass. Protocolo: TCP, Source: LAN NET, Port: Any, Destination: Any, Port: Any , Gateway: 192.168.2.1
Muchas gracias por tu ayuda.
Saludos,
Adrían.
-
¡Hola!
Sí, tiene que valer. Las reglas se ejecutan por el orden en que están. Por tanto, si hay una en primer lugar que bloquea el tráfico indeseable ya irá bien …
Saludos,
Josep Pujadas
-
Hola de nuevo!
Despues de quitar el squid de la maquina donde tenia el pfsense, puse las reglas tal cual te explique antes, pero por lo que veo en los ordenadores pueden usar Ares conectandose a el, y bajando de forma rapida…
¿Puede ser porque me falta añadir alguna regla en WAN y WAN1?¿Las reglas que puse antes no valen tambien para el ares? Pense que serian para todos los p2p.
Muchas gracias!
Un saludo,
Adrián.
-
¡Hola!
En ese caso sobra la última, ya que te está permitiendo todo lo que no tratan las anteriores.
Te faltará alguna regla más. Por ejemplo, dejar pasar UDP 53 y 123 para DNS y NTP.
Y si quieres poder hace pings tendrás que poner una regla que autorice ICMP …
Saludos,
Josep Pujadas
