Ayuda para bloquear puertos Pfsense
-
Ante todo saludos a todos aca, soy nuevo usando pfsense, he trabajado con otros servidores linux, Untangle, Endian, mi problema con este es que no se como bloquear los puertos , es decir en los otros servidores creaba una regla y no permitia nada, luego otra regla con los puertos permitidos y ya, facil rapido, con este no veo como hacerlo, comprendo que en 3 dias no voy a poner manejarlo . Agradeceria una ayuda de manera grafica! Se que me dira que lea en el foro pero busque y no consegui algo, no logro entender , el cansancio de trabajo no me deja ver bien jajaja
De Antemano Gracias ….....
-
Revisa la documentacion:
http://doc.pfsense.org/index.php/Main_Page
http://doc.pfsense.org/index.php/Category:Firewall_Rules
http://doc.pfsense.org/index.php/Tutorials
-
¡Agradecería una ayuda de manera grafica!
A parte de lo que han dicho tienes Documentación arriba (en este foro), con tutoriales bastante detallados.
Cuando acabas de hacer la instalación básica LAN/WAN sólo tienes una regla en Firewall - Rules - LAN que te permite todo hacia la puerta de salida. Nada más.
Si la deshabilitas prohibes todo. Y ya tienes todo cerrado.
Saludos,
Josep Pujadas
-
Hola Bellera, tengo el siguiente problema:
Por que cuando habilito el puerto 23 (dns) en el firewall tengo acceso total a internet en los host???
Saludos
-
Eliminá la segunda regla, si no recuerdo mal, es la que te deja salir tod a internet, estaba en uno de los post los opuertos que debes dejar abierto, fijate bien en el foro
-
daniel75,
La segunda regla no interviene. Está deshabilitada. De ahí que se vea degradada/difuminada.
Leoja,
Con las reglas que tienes podrás hacer ping a los sitios de Internet que quieras. He de suponer que 192.168.1.1 es la LAN de tu pfSense, ¿no? Si es así mejor emplea la opción LAN Address.
Si tus equipos pueden hacer más cosas en Internet entonces es que tienes algún problema de topología (cableado, rangos…) Por favor, describe con más detalle tu instalación para que podamos ayudarte.
Saludos,
Josep Pujadas
-
Más…
Los cambios de reglas se aplican a nuevas conexiones, no a conexiones vigentes (estados en curso).
Si se quiere una aplicación total hay que ir a States para borrarlos.
-
Gracias por responder,
este pfsense aun esta en una etapa de pruebas, en breve lo voy a poner en produccion.
En mi red tengo basicamente 2 tipos de usuarios (con y sin acceso a internet).Ademas queria agregar otro tipo de usuario que solo tengan acceso a la actualizacion del antivirus, nada mas.
Para esto añadi 2 reglas en el firewall,
1- cree un alias con las ip del servidor de actualizacion (esta regla no figura en la imagen adjuntada)
2- habilite el puerto 23 (dns) para la resolucion de nombres.Bellera voy a probar elimando todas las conexiones, seguro que con eso soluciono mi problema.
Saludos
-
@ Leoja
Una aclaración, el puerto DNS es el 53 (no el 23), ademas debes utilizar TCP/UDP (no solo UDP)
-
Volvi a realizar pruebas habilitando solo el puerto 53 (dns) en el firewall, elimine las conexiones, incluso reinicie el servidor y lo curioso que puedo navegar normalmente cuando no deberia
Al Pfsense solo tengo una pc conectada a modo de prueba y configuracion. Tiene ip 192.168.1.100 entregada por dhcp.
Tiene los paquetes squid, squidguard y el lightsquid instalados.
-
Normal… Debes tener a squid en modo transparente.
Si lo tienes en modo transparente todo lo que sea navegación va a squid, de forma incondicional.
Y es squid quien está dando salida a tus equipos.
Si explicas con más detalles lo que tienes y lo que quieres hacer quizás podamos ayudarte mejor.
Saludos,
Josep Pujadas
-
Si bellera, tengo el squid en modo transparente.
Mi idea es tener ciertos usuarios dentro de mi red que solo que puedan actualizar sus antivirus, nada más.
-
En ese caso tienes que ir a la configuración del proxy para indicar qué estaciones tienen permiso para usarlo.
En la 1.2.3 era la pestaña ACL, tal como se describe en http://forum.pfsense.org/index.php/topic,22273.0.html
En la 2.0 es parecido…
Comprueba los accesos https (TPC 443) una vez hayas hecho esto. No sé si los hacen pasar o no por el proxy transparente.
Prueba también que pasa con algún puerto http alternativo (del 8000 al 8100). Hay muchos servidores web en ese rango.
Saludos,
Josep Pujadas