Descargas Directas

bellera

Hola!

Lo que comentabas de que preferias tener una regla que deniegue la navegación directa por parte de los clientes, obligándoles a tener puesto el proxy en los navegadores y aplicaciones afines… ¿como lo deberia realizar?

• Desactivar proxy transparente
• Alias de puertos de navegación: 80, 443, 8000:8100
• Regla de bloqueo en LAN para el tráfico (que no tenga por origen el proxy) y que tenga por destino el alias de puertos. Digo entre paréntesis "que no tenga por origen el proxy" porque tengo a squid en una máquina a parte. Si el proxy es el propio pfSense supongo que se puede obviar …
• Comunicar a los usuarios que deben activar el proxy en su navegador. De lo contrario, no navegarán. Tres métodos posibles:
  **** Activar búsqueda del proxy en los navegadores.
  **** Emplear archivo proxy.pac, http://forum.pfsense.org/index.php/topic,7367.0.html
          (es la opción más flexible)
  **** Introducir IP y puerto del proxy.

Saludos,

Josep Pujadas

Soem

Muchas gracias como siempre Bellera.

Hare lo que me has recomendado, pero el problema que lo tendre que hacer poco a poco ya que al tener 200 usuarios siendo mas del 90% gente que no tiene ni idea de ordenadores me saldra peor el remedio que la enfermedad ya que tendre que estar configurando 1 por 1…
Me imagino que explicando que activen las busqueda de proxy en los navegadores no sera muy dificil, ya te contare y como siempre gracias por ayuda.

Saludos,

Adrián.

bellera

¡Hola de nuevo!

Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.

Saludos,

Josep Pujadas

tinto

hola
lo que podes hacer tambien es asignarle una ip en dns forwarder
o sea
que rapidshare.com sea 192.168.1.1 o algo asi
eso si, vas a tener que bloquear la salida dns hacia afuera
saludos

EMY

@bellera:

Si quieres conservar el proxy transparente con pfSense olvidé decir que una posible solución sería "encadenar" dos pfSense, uno detrás de otro. Algunos usuarios de este forum lo han hecho cuando se han encontrado con incompatibilidades entre servicios que querían tener.

Hola… esto es lo que yo estoy pensando hacer y aprovecho este hilo. Necesito... Portal Cautivo, Squid, Balanceo de carga y Traffic Shaper. ¿De que lado de las WAN y LAN pondrias cada cosa repartidas en dos equipos?... por ejemplo:

Lado WAN y WAN1:  Equipo con pfSense en Balanceo de carga y Squid
Lado LAN: Equipo con Captive Portal y Traffic Shaper

Es un ejemplo... ¿de que manera lo tenéis o lo haríais een caso de necesitar estos servicios?.

Saludos

bellera

@tinto:

hola
lo que podes hacer tambien es asignarle una ip en dns forwarder
o sea
que rapidshare.com sea 192.168.1.1 o algo asi
eso si, vas a tener que bloquear la salida dns hacia afuera
saludos

Es verdad, me había olvidado de esta posibilidad. Haciendo esto y no permitiendo acceso a DNS externos por parte de las estaciones quedaría resuelto.

Saludos,

Josep Pujadas

bellera

Lado WAN y WAN1:  Equipo con pfSense en Balanceo de carga y Squid
Lado LAN: Equipo con Captive Portal y Traffic Shaper

No lo veo mal. Mi única duda es si un squid transparente en pfSense es capaz de aprovechar el balanceo.

A ver si alguien lo tiene …

Saludos,

Josep Pujadas

EMY

@bellera:

A ver si alguien lo tiene …

¿Nadie puede aportar nada?

Saludos

Soem

Hola!

Segui las instrucciones de Bellera y quite el proxy.

Ahora me funcionan las reglas perfectamente.

¿Entonces si quisiera bloquear los p2p totalmente con poner en LAN y las descargas directas esto valdria?:

Block. Protocolo: TCP, Source: any, Port: Any, Destination: Alias"DescargasDirectas"(Con las Ips de megaupload, etc.), Port:Any, Gateway: Default

Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetTCP"(Con los puertos 80,443, etc), Gateway: Default

Pass. Protocolo: TCP, Source: any, Port: Any, Destination: Any, Port: Alias"InternetUDP"(Con los puertos 53,119,) , Gateway: Default

Pass. Protocolo: TCP, Source: LAN NET, Port: Any, Destination: Any, Port: Any , Gateway: 192.168.2.1

Muchas gracias por tu ayuda.

Saludos,

Adrían.

bellera

¡Hola!

Sí, tiene que valer. Las reglas se ejecutan por el orden en que están. Por tanto, si hay una en primer lugar que bloquea el tráfico indeseable ya irá bien …

Saludos,

Josep Pujadas

Soem

Hola de nuevo!

Despues de quitar el squid de la maquina donde tenia el pfsense, puse las reglas tal cual te explique antes, pero por lo que veo en los ordenadores pueden usar Ares conectandose a el, y bajando de forma rapida…

¿Puede ser porque me falta añadir alguna regla en WAN y WAN1?¿Las reglas que puse antes no valen tambien para el ares? Pense que serian para todos los p2p.

Muchas gracias!

Un saludo,

Adrián.

bellera

¡Hola!

En ese caso sobra la última, ya que te está permitiendo todo lo que no tratan las anteriores.

Te faltará alguna regla más. Por ejemplo, dejar pasar UDP 53 y 123 para DNS y NTP.

Y si quieres poder hace pings tendrás que poner una regla que autorice ICMP …

Saludos,

Josep Pujadas