Problemas con messenger pfsense 2.0.1

pozolero

Que tal a todos en el foro, tengo el problema en mi oficina con pfsense que no puedo habilitar o conectarme con live messenger

Tengo estas reglas de LAN:

Hice un alias con algunos puertos clave para messenger y no se si esta bien aplicada la regla.

Hago mencion que segui el tutorial de periko para obligar a todos los usuarios de mi red a pasar por el puerto de squid, por si algun listo quiere quitar la configuracion del navegador no va a poder tener salida a internet.

En mi casa instale una virtualbox con pfsense misma version y agregue una regla que encontre en una pagina, algo asi:

TCP/UDP    LANSubnet    *    WANAddress    *    Gateway    none

(Originalmente en la regla se configura un alias con puertos, Pero yo habilite la opcion que trae pfsense que dice MSN)

Tengo otra maquina virtual con windows 7 y si se conecta sin problemas pasando por la virtual de pfsense en modo puente…

Pero aqui en la oficina nomas no jala. Ya estuve checando en el foro opciones y no me sirven...

Ya como ultima opcion pense que podria ser mi maquina, pero con la regla de acceso total que trae configurada pfsense si se conecta sin problemas...

Espero puedan ayudarme para aprender que estoy haciendo mal...

Saludos

pozolero

Estuve leyendo este post donde parece que solucionaron el problema pero no sirven las imagenes:

http://forum.pfsense.org/index.php/topic,6756.0.html

pozolero

Alguna luz al respecto?  ;D

periko

Hola pozolero.

En mi blog, yo estoy bloqueando todo el msn, tanto GUI como WEB, en tu caso que deseas hacer?

Permitir que cruce el trafico atraves de squid o que se brinque el squid y salgan directo atraves del firewall?

Live MSN GUI usa para logearse minimo el puerto 1683 TCP/7001 UDP, los otros puertos son para voz, video, etc.

Version 2009 es la que tengo.

Vamos poniendo algunos escenarios:

1; Sin squid en mi version necesito que los usuarios tengan acceso a estos puertos en firewall LAN.

80 TCP
443 TCP
1863 TCP
7001 UDP

2; Con squid sin restricciones debes tener abierto los puertos arriba mencionados en el firewall pero solo: 1863/7001 ya que los otros squid ya los tiene, recuerda que una cosa es squid y otra el  firewall, configurado I explore ya que live msn agarra de ahi los parametros.

3; Squid con ACL, tenemos ACL que bloquean msn, vas a tener 2 grupos, los que pueden cruzar con esos ACL sin bloqueos y los que bloquean para el resto, pero las mismas reglas aplican con el firewall(puertos abiertos).

En punto 2/3 me refiero un proxy no-transparente como mis ejemplos.

Espero te sirva de algo, msn usa mas puertos para voz, video, etc tu firewall te va a decir que esta bloqueando, no recuerdo si squid requiere esos otros puertos(si hay) abiertos o ya los tiene, no tengo como probar voz ni video.

Los alias pueden ser para tener tu grupo de usuarios que si tengan permiso para este servicio.

Saludos!!!

NOTA: Te recomiendo que siempre tu regla para permitir el query a tu dns este 1ro que todas las que tu agregues, y tu regla para permitir el trafico para el MSN abajo de la de proxy, ya que recuerda que pf evalua hasta dar con la regla si no hay bloquea asi que puedes dejar:

1 query a dns
2 puerto a proxy
3 puertos msn

pozolero

@periko:

Hola pozolero.

En mi blog, yo estoy bloqueando todo el msn, tanto GUI como WEB, en tu caso que deseas hacer?

Permitir que cruce el trafico atraves de squid o que se brinque el squid y salgan directo atraves del firewall?

Live MSN GUI usa para logearse minimo el puerto 1683 TCP/7001 UDP, los otros puertos son para voz, video, etc.

Version 2009 es la que tengo.

Vamos poniendo algunos escenarios:

1; Sin squid en mi version necesito que los usuarios tengan acceso a estos puertos en firewall LAN.

80 TCP
443 TCP
1863 TCP
7001 UDP

2; Con squid sin restricciones debes tener abierto los puertos arriba mencionados en el firewall pero solo: 1863/7001 ya que los otros squid ya los tiene, recuerda que una cosa es squid y otra el  firewall, configurado I explore ya que live msn agarra de ahi los parametros.

3; Squid con ACL, tenemos ACL que bloquean msn, vas a tener 2 grupos, los que pueden cruzar con esos ACL sin bloqueos y los que bloquean para el resto, pero las mismas reglas aplican con el firewall(puertos abiertos).

En punto 2/3 me refiero un proxy no-transparente como mis ejemplos.

Espero te sirva de algo, msn usa mas puertos para voz, video, etc tu firewall te va a decir que esta bloqueando, no recuerdo si squid requiere esos otros puertos(si hay) abiertos o ya los tiene, no tengo como probar voz ni video.

Los alias pueden ser para tener tu grupo de usuarios que si tengan permiso para este servicio.

Saludos!!!
 
NOTA: Te recomiendo que siempre tu regla para permitir el query a tu dns este 1ro que todas las que tu agregues, y tu regla para permitir el trafico para el MSN abajo de la de proxy, ya que recuerda que pf evalua hasta dar con la regla si no hay bloquea asi que puedes dejar:

1 query a dns
2 puerto a proxy
3 puertos msn

Que tal periko y muchas gracias por contestar.

Te comento lo siguiente:

Necesito poder hacer que algunos usuarios puedan hacer uso del messenger por cuestiones de trabajo
A otros si necesito bloquarselos porque no lo necesitan y me dicen los "jefes" que luego se la pasan chateando.

Yo creo que con que puedan loggearse, platicar y a lo mucho pasarse archivos entre ellos por messenger me doy por servido…

Porque aparte tengo a los usuarios que dedican a descargar con el bittorrent, ares y demas.

Me gusto mucho tu tutorial de obligar a pasar por squid (modo no transparente) y si quitan la configuracion del navegador no los deje conectarse porque al darle en squid por ejemplo bloquear FB, ni usando el https lo deja conectarse jejejejeje

Otra duda, que me recomiendas hacer? Permitir que cruce trafico a traves de squid o que salgan directo del firewall? no se que hacer o como hacerlo...

Un abrazo y gracias de nuevo por contestar...

pozolero

@periko:

Tengo una duda mas, perdon por ponerla aqui, pero aprovechando…

Tengo activado el DHCP en pfsense, lo que voy a hacer es asignar ip's estaticas de acuerdo a MAC de cada dispositivo.

Puedo desactivar el servidor DHCP? No afecta a la asignacion de ip's estaticas?  O a fuerza debo dejarlo corriendo?

Esto para evitar que los usuarios que no esten dados de alta en las ip estaticas puedan tener acceso a internet o a la RED interna y se obliguen a darse de alta con nosotros y asi poder navegar...  Todo para llevar un control de quienes si pueden tener acceso a internet y quienes no, ademas de hacer un uso razonable del ancho de banda, ya que parece un ciber la oficina, todo mundo descarga lo que quiere y se pone a ver videos...

Saludos

pozolero

@periko:

Hola pozolero.

En mi blog, yo estoy bloqueando todo el msn, tanto GUI como WEB, en tu caso que deseas hacer?…

Agregue unas reglas al firewall y sigue sin dejarme conectar, te agrego las imagenes para que veas lo que tengo en reglas…

Saludos

Imagen 2

periko

Hola pozolero, hacerca del DHCP, en lo personal es lo mejor para controlar quien accesa la red, a veces hay lugares donde queda muy llegar a ver que andan haciendo y si el DHCP no tiene un MAC autorizado que rechaze su acceso es lo mejor, yo hago lo mismo.

Bien referente a el control de tu gente, yo le estoy dando todo el poder a squid, que todos crucen por ahi, ya que asi conozco que hace cada uno con el ancho de banda.

Para tu problema actual, creo que arriba puse que necesitas tambien acceso a el puerto 80/443, estas trabajando con tu maquina no hagas movimiento hasta que no lo tengas bien amarrado.

Cuando abras los puertos que te faltan vas a tener acceso te lo garantizo.

Bien con squid vas a tener que meter ACL's

Grupo MSN-AUTH
  Grupo MSN-NO-AUTH

Las ACL  que yo uso para bloquear MSN las vas a complementar con estos grupos de usuarios quien  si/quien no, a demas vas a tener que crear reglas en tu firewall para que ese se mismo grupo de usuarios permitidos pueda tocar el puerto 1863/7001 en el firewall un alias va a ser tu opcion.

Si tu problema continua, te recomiendo abrir un regla en el firewall a la maquina donde estas probando todo esto y le dices que permita TCP/UDP y que logie todo, asi cuando hagas tus pruebas checas en log  de tu firewall y ver que esta bloqueando, a lo mejor tu version esta usando otros puertos, pero creo no.

Espero te sirva, seguimos en contacto y animo!!!

pozolero

@periko:

Hola pozolero, hacerca del DHCP, en lo personal es lo mejor para controlar quien accesa la red, a veces hay lugares donde queda muy llegar a ver que andan haciendo y si el DHCP no tiene un MAC autorizado que rechaze su acceso es lo mejor, yo hago lo mismo.

Bien referente a el control de tu gente, yo le estoy dando todo el poder a squid, que todos crucen por ahi, ya que asi conozco que hace cada uno con el ancho de banda.

Con respecto a esto, entonces puedo desactivar el servidor dhcp y dar de alta unicamente MAC's con su respectivas ip's?  O dejo el dhcp activado?

Para tu problema actual, creo que arriba puse que necesitas tambien acceso a el puerto 80/443, estas trabajando con tu maquina no hagas movimiento hasta que no lo tengas bien amarrado.

Cuando abras los puertos que te faltan vas a tener acceso te lo garantizo.

Pero con esto no le pego a tu tutorial donde comentas que solo se debe tener reglas con puerto 53 y puerto 3128 squid?  Creo que si llego a autorizar acceso al puerto 80/443, si los usuarios quitan su configuracion del navegador se van a encontrar con que pueden navegar por tener estas reglas habilitadas?  O en que me estoy equivocando?

Bien con squid vas a tener que meter ACL's

Grupo MSN-AUTH
  Grupo MSN-NO-AUTH

Las ACL  que yo uso para bloquear MSN las vas a complementar con estos grupos de usuarios quien  si/quien no, a demas vas a tener que crear reglas en tu firewall para que ese se mismo grupo de usuarios permitidos pueda tocar el puerto 1863/7001 en el firewall un alias va a ser tu opcion.

Esto se tiene que hacer a mano? como en en tutorial forzar el uso de squid?  O se puede lograr desde web gui?

Si tu problema continua, te recomiendo abrir un regla en el firewall a la maquina donde estas probando todo esto y le dices que permita TCP/UDP y que logie todo, asi cuando hagas tus pruebas checas en log  de tu firewall y ver que esta bloqueando, a lo mejor tu version esta usando otros puertos, pero creo no.

Espero te sirva, seguimos en contacto y animo!!!

Voy a hacer esto que dices en mi maquina virtual a ver que es lo que esta pasando con los logs…

Seguimos en contacto y espero poder contar con tu apoyo...

Saludos desde el sureste mexicano  ;D

periko

Con respecto a esto, entonces puedo desactivar el servidor dhcp y dar de alta unicamente MAC's con su respectivas ip's?  O dejo el dhcp activado?

El DHCP puede entregar IP's estaticas asi no tienes que preocuparte de asignarlas manualmente a cada maquina, es una funcion basica de cualquier dhcp.

Pero con esto no le pego a tu tutorial donde comentas que solo se debe tener reglas con puerto 53 y puerto 3128 squid?  Creo que si llego a autorizar acceso al puerto 80/443, si los usuarios quitan su configuracion del navegador se van a encontrar con que pueden navegar por tener estas reglas habilitadas?  O en que me estoy equivocando?

Lo del puerto 80/443 era para tus pruebas solamente.

Esto se tiene que hacer a mano? como en en tutorial forzar el uso de squid?  O se puede lograr desde web gui?

Yo lo hago a mano, ya que el GUI me limita.

Saludos desde el sureste mexicano

Saludos desde el norte mexicano!!!

periko

Mira ya que ando aqui de mitotero, un ejemplo y de ahi te das una idea.

1; Creas en squid los ACL para msn

2; Vamos a tener 3 tipos de usuarios.

administrador – nosotros de sistemas
usuarios con acceso a messenger
usuarios restringidos

El usuario con permiso a msn tambien esta restringido, una cosa es permitirle usar ese servicio y otra cosa abrirle la puerta, correcto, al menos que alguno de ellos sea admin, no lo pasas por la acl del msn sino como super user y no debe tener problemas.

Aparte este usuario necesita acceso a ciertas paginas para msn que son:

.live.com
.msn.com
.gowindowslive.com
.msads.net

A lo mejor hay mas pero son las que vi.

Entonces esto nos genera otra acl para ese mismo grupo de usuarios.

Esos mismos usuarios pueden ser parte de los restringidos como te comento, entonces aparecen 2 acl mas, usuarios restringidos y sitios restringidos.

En resumen tenemos esto:

#acl para permitir msn

acl msnmime req_mime_type ^application/x-msn-messenger
acl msngw url_regex -i gateway.dll
acl msnproxy url_regex -i xmlProxy.htm

#acl para los sitios necesarios para msn
acl msn_sites dstdomain "/usr/local/etc/squid/acl/msn_sites.acl"

#acl grupo de maquinas con acceso a msn
acl msn_auth src "/usr/local/etc/squid/acl/msn_auth_ip.acl"

#acl usuarios administradores
acl admin_u src "/usr/local/etc/squid/acl/admin_u_ip.acl"

#acl sitios normales para usuarios restringidos
acl normal_sites dstdomain "/usr/local/etc/squid/acl/normal_sites.acl"

acl normal_users src "/usr/local/etc/squid/acl/normal_users_ip.acl"

Estamos listos, ahora viene la puesta en marcha.

#la regla  queda fuera de la jugada ya que yo controlo quien sale y quien no.

http_access allow localnet

######################################################################
#                      mis acl's                                    #
######################################################################
#Usuario administrador no restricciones
http_access allow admin_u
http_access deny admin_u

#usuarios con acceso a msn
http_access allow msn_auth msnmime
http_access allow msn_auth msngw
http_access allow msn_auth msnproxy

#bloqueamos msn para el resto.
http_access deny msnmime
http_access deny msngw
http_access deny msnproxy

#msn sites
http_access allow msn_auth msn_sites
http_access allow normal_users normal_sites
http_access deny msn_auth
http_access deny normal_users
######################################################################

Setup allowed acls

Allow local network(s) on interface(s)

http_access allow localnet

Default block all to be sure

http_access deny all

Contenido de datos:

msn_auth_ip.acl –>192.168.50.105/32 ejemplo

msn_sites.acl:
.live.com
.msn.com
.gowindowslive.com
.msads.net
[quote/]

normal_sites.acl:
..los sitios que permitas

normal_users_ip.acl –> IP de los equipos restringidos.

super_users_ip.acl–> los que tu creas conveniente(tu)

No hemos acabado, creas un alias y agregas ahi los mismos IP's que tienen acceso a el msn, y creas 2 reglas en tu firewall para permitir el acceso a los puertos de este alias:

1863 TCP
7001 UDP

Pruebas sintaxis de squid:

squid -k parse

Repara errores no debeb haber ninguno.

Si todo bien, cargas los cambios:

squid -k reconfigure

Abres tu consola y a leer el log de squid a detectar bloqueos y agregarlos a los acl correctos:

tail -n 40 /var/squid/logs/access.log

Espero te sirva, saludos  ;D

pozolero

Excelente explicacion periko, como siempre muy claro en la explicacion, voy a checar en el server lo que me expones…

Otra cosa, me decias que el dhcp se encarga de asignar ips sin necesidad de cazarlas con la mac...

Es que en la oficina vamos a asignar las ip's de acuerdo a la mac del equipo, vamos a hacerles firmar una especie de resguardo para que todo lo relacionado con esa ip, sea responsabilidad del usuario y no de la empresa.

Entonces no necesito que el dhcp este activo, vaya no quiero que este dando ips dinamicas.  Entonces si no lo necesito dando ip's dinamicas puedo deshabilitar el servicio dhcp y no tendre problemas para que el server pfsense asigne las ip's que le dije que asignara de acuerdo con la mac?

Saludos de nuevo... y muchas gracias por tu respuesta.  8)

periko

Otra cosa, me decias que el dhcp se encarga de asignar ips sin necesidad de cazarlas con la mac…

Creo que no me explique hacerca del dhcp, este servicio puede entregar IP's en base a la MAC, creo que deberias leer un poco mas de como funciona, saludos!!!

pozolero

@periko:

Creo que no me explique hacerca del dhcp, este servicio puede entregar IP's en base a la MAC, creo que deberias leer un poco mas de como funciona, saludos!!!

Si te explicaste bien, se que se encarga de asignar las direcciones ip, pero creo que el que no se explico bien fui yo… jajjaja No quiero que el dhcp entregue direcciones dinamicas.  Ahorita esta activado para asignar dinamicamente.  Lo que pregunto es si tiene que estar levantado el servicio dhcp siempre?

pozolero

Por cierto te comento rapidamente, el fin de semana formatee la maquina, y le volvi a instalar windows live messenger y ahora por arte de magia entra de volada…

Con las reglas que anteriormente me habias dicho 1863 tcp y 7001 udp...

Quiero pensar que era la instalacion de windows que ya necesitaba una nueva, o quiza la version de msn... no se... para el caso es que ya sirve.

Solo estoy ahora con lo que me dices de asignar las acl en squid, lo de los alias, y demas chunches...

Ahi la llevo, gracias de nuevo por responder a mis dudas...

Saludos