Nat
-
Hola a todos, tengo un problema en mi servidor pfsense, lo tengo instalado hace tiempo y no me ha dado nunca ningun problema, ya que tengo unas rules bastantes sencillas. Pero ahora debido a un programa llamado spotify el cual usan casi todos los usuarios (la red es de unas 200 personas y tengo 4 megas de descarga) la red se satura y el internet va muy mal, ¿sabrias decirme la solucion para bloquear su acceso a la red? He estado leyendo sobre nat en el tutorial de bellera, pero nunca quise poner ninguna regla porque como ya dije no tengo la menor idea de como configurarlo y de cual es su funcion exacta ¿desde aqui podria capar el puerto por el que se conecta dicho programa? Siento mi ignorancia sobre el tema… He estado buscanco libros sobre el pfsense y vi que lo habia, pero lamentablemente solo en ingles y mi nivel en el idioma no creo que sea tan alto como para llegar a entender completamente el libro.
Muchas gracias,
un saludo -
Segun lo que me dices esto deberias hacerlo desde rules y no desde nat
que puertos son los que usan este programa?
-
¡Hola!
Parece streaming sobre http …
O sea que la única manera de bloquearlo actualmente es:
1. Averiguar qué IPs emplea.
2. Hacer un álias con el grupo de IPs.
3. Bloquear como destino dicho álias.En http://www.nipalante.es/2009/10/20/bloquear-o-redirigir-spotify-mediante-iptables/ hay un artículo de cómo hacer lo mismo en un entorno Linux. Sale un rango de IPs, 78.31.8.0/21. http://www.db.ripe.net/whois corrobora que el rango es correcto.
Con la próxima versión de pfSense (la 2.0) podrán filtrarse comunicaciones en función de patrones, con lo cual no será necesario conocer las IPs de destino. A veces, éstas son variables, ya que hay compañías que alquilan IPs a otras …
Saludos,
Josep Pujadas
-
Muchas gracias por vuestra pronta respuesta.
He hecho lo que me has comentado y el resultado es perfecto, el spotify ya no se conecta, aunque para tener mas información, en alias/type, ¿que diferencia funcional tiene host y network?
¿Como podria saber el rango de ip´s de este programa, de otros o de incluso una pagina web?
Mi pregunta es debido al youtube, que parece ser que también es otro de los causantes de la lentitud de la linea.
Muchas gracias,
Un saludo -
¡Hola!
Con youtube está algo más complicado … Desde cualquier terminal (en Windows, Linux, FreeBSD...):
nslookup youtube.com
nslookup googlevideo.com
nslookup google.comte dará las IPs más próximas a ti. Después tendrías que ir a https://ws.arin.net/whois para averiguar los rangos y meterlos en un álias pero ...
el problema es que youtube y google (quien compró youtube) están mezclados.
Por tanto en este caso te sugiero instales los paquetes squid y squidguard para poder establecer políticas de filtrado de páginas web. Con eso podrás bloquear youtube, que también es streaming por http.
Saludos,
Josep Pujadas
-
Hola de nuevo, el problema que cuando instalo squid y el squidguard las rules que pongo parece como si no surtieran efecto, esto sera, segun he leido en otros post que no se pueden instalar en la misma maquina y tendria que tener 2 pc´s uno con las rules y otro con el proxy para que no surjan incopatibilidades.
Muchas gracias por tu ayuda,
un saludo. -
¡Hola!
Depende del montaje que hagas/tengas …
Si pones a squid en modo transparente todo el tráfico http será gestionado por este, con lo que las reglas de bloqueo de spotify no te servirán.
Pero en squid tienes ACL (Access Control List) y con squidGuard todavía tienes más potencia de filtrado que con las ACL de squid …
O sea que lo que hiciste para spotify lo tienes que "migrar" a squid + squidGuard. Mira las opciones que tiene el configurador web para ajustar squid + squidGuard a tus necesidades.
Y mientras te lo miras y lo piensas puedes poner a squid en modo no transparente y emplear una estación de trabajo para hacer las pruebas indicando en el navegador que el proxy a emplear es la IP de LAN de tu pfSense y puerto 3128 (si no recuerdo mal).
Saludos y perdona por no haber pensado antes en la "colisión de intereses" entre ambas opciones …
Josep Pujadas
-
Muchas gracias Bellera por tu respuesta y por explicarme como realizarlo, pero creo que aun asi no me valdria, ya que tengo dos routers y en las rules tengo puesto que ip´s sale por cada cual y eso si no me equivoco no se puede hacer con el squid.
Sabiendo esto entonces ¿tendria que tener dos maquinas o se puede hacer de otra manera?
Un saludo!
-
¡Hola de nuevo!
Efectivamente, si tienes dos salidas a Internet más vale "encadenar" dos pfSense.
Uno lo puedes dedicar a balanceo de las conexiones a Internet y el otro a las tareas específicas de cortafuegos (reglas y squid+squidguard).
Si no quieres poner varios equipos físicos puedes virtualizar pfSense. En el área de descargas hay una imagen vmware de pfSense. También hay gente que lo instala con virtualbox …
Saludos,
Josep Pujadas
-
Hola!
Muchas gracias por responder. He estado mirando lo que me dijiste en el post anterior sobre como virtualizar el pfsense pero el problema ahora reside en que necesito tener dos tarjetas de red, pero aun asi me parece una gran idea la virtualizacion ya que me ahorro una maquina.
Muchas gracias por todo Bellera, has sido de gran ayuda.
Un saludo,
Adrián Fdez. -
Hola de nuevo, me ha surgido un nuevo problema con el Spotify, los usuarios de mi red cambian las preferencias y usan un proxy por lo que la regla que anteriormente me explico Bellera ya no surte efecto…
¿Hay alguna manera de poder resolver esto?
Muchas gracias y un saludo.
-
¡Hola!
Podrías probar si www.opendns.org cumple tus necesidades …
Si tienes dudas busca en este fórum poer opendns o bien en Google por opendns site:pfsense.org
Básicamente es un sistema de filtrado basado en resolución DNS. Cuando se usa se autoriza, mediante reglas, como únicos DNS posibles los de opendns.
Saludos,
Josep Pujadas
-
Hola de nuevo, gracias por responderme una vez mas.
He estado leyendo sobre OpenDNS y me parece que puede solucionar mi problema, pero tengo una duda, ¿Donde tendria que cambiar los dns para que se conecte al opendns, en el router o en el pfsense? si es en el pfsense, ¿En que parte?
Muchas gracias,
Un saludo -
¡Hola!
Esto depende de cómo operes …
Si pfSense hace de DHCP entonces pfSense asigna los DNS a las estaciones, por lo que tienes que poner los DNS a emplear en [System] [General Setup] de pfSense.
pfSense enviará entonces los DNS a las estaciones …
En cada [Services] [DHCP Server] de pfSense puedes también asignar DNS a emplear, por si tuvieras varias LAN y las quisieras dar un tratamiento distinto.
En cada LAN tendrás que poner también una regla que autorice el tráfico TCP/UDP con destino a los DNS y puerto 53. Si tienes una regla que autoriza todo hacia Internet puedes poner una POR DELANTE que bloquee todo lo que sea TCP/UDP con destino distinto a los DNS y puerto 53. Mejor define un álias para los DNS de OpenDNS … Con esta regla evitarás que tus usuarios naveguen si cambian de DNS ...
Los DNS que tomen tus routers los dejaría como estén. No intervienen, a menos que tus WAN estén en modo DHCP (tomando los DNS asignados por tu proveedor de Internet) y tuvieras los cajetines de [System] [General Setup] vacíos.
¡Ojo! La protección por DNS no te librará de estar desprotegido si acceden por IP. Como ves, para protegerse hay que emplear conjuntamente varias soluciones …
No sé si tienes privilegios administrativos sobre las máquinas. Si estás en un entorno de trabajo piénsatelo. Si los usuarios no son administradores de sus equipos se pueden cortar muchas cosas a nivel de máquina ...
Saludos,
Josep Pujadas
-
Hola Bellera, nada mas leer tu primer mensaje sobre el OpenDNS me puse manos a la obra y llevo toda la mañana con ello.
Mas o menos creo haber comprendido lo que me as explicado y lo voy a ir poniendo en practica, no tengo poder sobre ninguna maquina debido a que es una residencia de estudiantes y cada usuario tiene su propio pc.
Voy hacer el alias de las DNS y ¡Haber si me sale! Por cierto, ¿Como se hace un alias correctamente de las DNS?
Use ya el OpenDNS puse las dns en [System] [General Setup] pero cuando me meto en el opendns/ stats me aparece que no hay trafico asi que me imagino que sera por la rule que la tendre que poner.
Muchas gracias,
un saludo. -
residencia de estudiantes
Comprendo …
¿Como se hace un alias correctamente de las DNS?
Como hiciste con spotify. Te decía que metas las IPs de los DNS en un álias para la regla de autorización TCP/UDP 53 … De esta manera con una sola línea te basta si en OpenDNS te dan más de un DNS.
Saludos,
Josep
-
Hola Bellera!
Efectivamente como me pones es como lo hice, pero cuando me meto en el opendns me aparece como si no hubiera trafico, no se que configuro mal ya que:
-Puse lo DNS en [System] [General Setup]
-Hice el alias y la rule como me comentabas, bloquee toda ip distina a la del opendns en el puerto 53: aqui te pongo una imagen de como lo tengo. http://www.imagengratis.org/?v=todtruj1r.jpg
-En el openDNS pongo la ip estatica y no me reconoce trafico alguno
-Cuando me meto en este link: http://www.opendns.com/welcome/oops/ me sale: Your request appears to have come from a proxy.
No entiendo porque me dice que entre medias hay un proxy…No se en que puede fallar... Pienso que es debido a una regla porque lo demas es muy sencillo de configurar.
Muchas gracias,
un saludo. -
¡Hola!
1. No postees imágenes con tus IPs … No veo nada incorrecto ...
2. En una estación de trabajo emplea el comando nslookup para saber quién te está haciendo de DNS:
nslookup www.google.com
3. dig www.google.com en la shell (consola de pfSense) para ver quién resuelve en pfSense. nslookup es un comando obsoleto, pero está en todos los sistemas operativos. En pfSense lo han quitado y dejaron a dig, que es más completo.
4. Que en www.opendns.org te digan que parece que vienes de un proxy significa que igual tu proveedor de Internet te hace pasar por un proxy … Pero una cosa es el acceso a su web y otra el acceso TCP/UDP 53 a sus servicios DNS.
Saludos,
Josep Pujadas
-
Hola!
Perdon por lo de la imagen, no sabia que no podia postear mis ips.
No puedo acceder a la consola ya que el ordenador fisicamente no puede acceder un monitor, ¿Se podria acceder a la consola desde fuera?
Por lo demas el OpenDNS sigue sin recopilar ninguna informacion.
Muchas gracias,
Un saludo -
Perdon por lo de la imagen, no sabia que no podia postear mis ips.
Es por tu seguridad …
No puedo haceder a la consola ya que el ordenador fisicamente no puede acceder un monitor, ¿Se podria acceder a la consola desde fuera?
No entiendo la pregunta.
