Reglas Firewall

hector · Aug 6, 2010, 1:29 AM

Amigos,

He instalado pfSense 1.2.3 en el Disco duro de una maquina que dejaré como Firewall y Proxy para mi red.

Tengo 2 Interfaces:

LAN -> 192.168.1.X
WAN -> PPPoE

La interfaz LAN está conectada a un switch con 20 estaciones de trabajo en red, la WAN está conectada a un ADSL de 2Mb. (por el sector no puedo solicitar aumento de velocidad).

He instalado squid para filtrar algunos sitios web y regular el ancho de banda, también he configurado el Traffic Shaper y al parecer funciona todo bien (mejoró un poco lo de la telefonía IP, razón fundamental de implementar pfSense).

El problema radica en que quiero cerrar todos los puertos hacia internet y abrir por demanda, lógicamente comenzando por el 80, 443, 110, etc. el punto es que no he dado con la configuración correcta para hacerlo, la única forma de navegar en internet es dando permisos a la subnet LAN a todo destino con cualquier puerto :-[

He buscado en Internet y no encuentro la solución… Podrían darme una mano con esto?

Gracias por su ayuda!
:)

leoalfa09 · Aug 6, 2010, 6:07 AM

postea las reglas que tienes en lan para verificar si no es una mala configuracion.
Con respecto a squid+traficshapper se ha hablado que presentan ciertas incompatibilidades si se utilizan en el mismo equipo

LEPM · Aug 6, 2010, 2:06 PM

Si quieres cerrar todo pero todo desde lan
En System–>Advanced marca la casilla "Disable webGui anti-lockout rule"

Antes de hacer eso, tienes que configurar reglas, para acceder al pf(webgui).
por ejemplo:

| proto source port destination port gateway
pass |
| tcp lan net * ip-pfsense XXX *

Luego tienes que agregar reglas para dns,y proxy
Las demás a medida que las soliciten

locopepo · Aug 6, 2010, 8:10 PM

yo las tengo asi..

hector · Aug 6, 2010, 9:12 PM

Gracias a todos por la ayuda!

Ya tengo pfSense operativo…

Saludos,

leoalfa09 · Aug 8, 2010, 5:36 AM

Solucion??

LEPM · Aug 8, 2010, 7:48 PM

@locopepo:

yo las tengo asi..

De curioso nomas…
ya que usas ubuntu
no tines una regla para 11371?

locopepo · Aug 9, 2010, 2:21 PM

Nop por que ese es un servidor de un cliente q administro via web remota….... una consulta con esto el messenger deberia quedar bloqueado?

Atte.

LEPM · Aug 9, 2010, 3:15 PM

@locopepo:

Nop por que ese es un servidor de un cliente q administro via web remota….... una consulta con esto el messenger deberia quedar bloqueado?

Atte.

Si no hay una regla,que permite el trafico,por el puerto 1863 si,está bloqueado.

leoalfa09 · Aug 10, 2010, 3:56 AM

esto si no existiesen versiones antiguas de msn en tu red

locopepo · Aug 11, 2010, 8:02 PM

Bloqueando así el msn no debería funcionar?

Atte.

leoalfa09 · Aug 12, 2010, 7:03 AM

como asi?????