Como evitar saltarse el portal cautivo

joselms02

Buenas noches amigos del foro, tengo mas de una semana que instale PfSense y hasta el momento todo bien con lo poco que he hecho (portal cautivo, squid, (solo lo básico)). Ahora me surgió un problema que no he encontrado una solucion en la web. Ley en una pagina "tunel DNS para saltarnos un portal cautivo", realice el tutorial que presentaban y puffff salto mi portal cautivo.
La pregunta es: Se puede proteger el portal cautivo de estos ataques ?

Tengo dos tarjetas de red: Wan y Lan
La versión es 2.0.3

Mis conocimientos en el tema en muy bajo, pero estoy interesado en aprender

Gracias.-

periko

Una pregunta como tienes las reglas del firewall de tu cp?

joselms02

Epale periko gracias por tu atención, te comento que no he modificado ni añadido ninguna regla, es que no estoy muy claro con eso. Te envió las imágenes. Que me siguieres ? ademas de leer muuuchoo. Ya estoy en esto ;D

Saludos.-

FirewallLan.png_thumb

FirewallWan.png_thumb

periko

Mira, ahorita no tengo chance de probar pero como veo que tu ya lo calastes, me gustaria que hicieras unos cambios.

Ya que tienes la regla por default y esa permite muchas cosas, ahi te yo haria esto:
a) activo el dnsforward.
b) dejo solo 3 reglas:
1; query de tu lan protocolo udp hacia tu lan adress(o sea la ip del pfsense) solamente, la regla actual le permite a cualquiera que este en tu lan consultar cualquier dns, aqui estamos forzando que solo
puedan consultar el dns interno de pfsense nadie mas.
2; query de tu lan tcp hacia cualquiera puerto http(80)
3; query de tu lan tcp hacia cualquiera puerto https(443)
4; elimino la regla que tienes por default la que permite todo.

Si puedes intentas de nuevo despues que hagas tus cambios a ver que pasa? saludos.

ZAC

@joselms02:

Buenas noches amigos del foro, tengo mas de una semana que instale PfSense y hasta el momento todo bien con lo poco que he hecho (portal cautivo, squid, (solo lo básico)). Ahora me surgió un problema que no he encontrado una solucion en la web. Ley en una pagina "tunel DNS para saltarnos un portal cautivo", realice el tutorial que presentaban y puffff salto mi portal cautivo.
La pregunta es: Se puede proteger el portal cautivo de estos ataques ?

Tengo dos tarjetas de red: Wan y Lan
La versión es 2.0.3

Mis conocimientos en el tema en muy bajo, pero estoy interesado en aprender

Gracias.-

Sin squid no pasa nada :D, prueba una maquina que no tenga el squid y veras que no pasa :P, pero haz lo que dijo periko :D

periko

ZAC recuerda que esta hablando sobre CP, es independiente a squid.
Saludos.

ZAC

Es que un tutorial que yo seguí, si no tenía activado el squid no funcionaba :D, por eso no lo uso, pero sería bueno que este amigo me pase el tuto, para probarlo en mi red, si no, yo también tendré que hacer lo que dice usted periko :(

periko

Creo que es este: http://dabax.net/tunel_dns

joselms02

Buenas noches, ya retomado sus sugerencias. Amigo Zac el comando que utilizan en el tutorial es: sudo nmap -sS Ip_del navegador_cuando_muestra_la_pagina_del_portal, (utilizando Linux).
Perico, tengo una duda con la primera regla, (en general con todas por falta de conocimiento para implementarlas). El caso es que el dhcp entrega ip a todas las maquinas que se conectan, osea que ya están dentro de la lan.

No tengo claro como crear estas reglas, algun tutorial? ya he leido varios y no logro interpretar para implementar "query"

Mientras tando voy a desintalar el squid a ver que pasa, ya les comento.

Saludos.-

periko

Si es el link que puse? si no ponlo de favor.

Crear reglas:

http://www.bellera.cat/josep/pfsense/indice.html

Saludos.

joselms02

Gracias perico, ya lo he revisado, voy a dar unas cuantas pruebas a ver si doy con las que tu me pasaste.
Les envío imagen de lo indicado en el tutorial ya que no lo encuentro, distinto al que colocastes, es mas facil. solo deben entrar a la red y tomar la direccion ip que muestra el navegador, lo colocas al comando que les envie y les muestra el puerto que utiliza el squid, con esta información configuramos nuestro proxi y listo nos pasamos el portal.
Preguntas:siempre la ip que muestra el navegador es la puerta de enlace ? se puede cambiar por otra para despistar?

Zac, es cierto que eliminando el Squid se resuelve el problema pero creo que no es la idea. Ya lo probé.

Seguire intentando con las reglas

Saludos.-

Tunel.png_thumb

joselms02

Les envío imagen de las reglas como me funciono a ver periko si es como me indicaste.
Pero me bloquea las https

SinSalto.png_thumb

periko

Estas reglas…

Recuerda de tu red interna hacia fuera, en tu caso es LAN en el mio es WIFI por que ahi es donde tengo el cp.

A ver como te va, saludos.

reglas.JPG_thumb

joselms02

Buenas tardes, gracias peryco, he podido bloquear el salto del portal cautivo con las reglas que me dejaste. Solo me queda otro detalle que se genero.
Me esta bloqueando el acceso a un servidor externo y a la red de mi oficina por vpn. El PFsense lo tengo en mi casa.

Sera que creo otro tema y coloco este como solucionado?

Saludos.-

periko

Excelente, algo que siempre aplico en los firewalls es solo permitir el trafico necesario, en mi caso siempre he usado los dns de mi ISP y el cliente dnsforward, y solo permito a mi red interna hacer uso de ellos, ningun otro.

Claro que te debe estar bloqueando, si estas usando la misma nic para accesar otras redes, repito tienes que abrir los puertos que necesitas, ya hicistes pruebas, te recomiendo que las dejes como tenias cuando todo funcionaba, investigues que puertos/protocolos necesitas abrir, ya que los tengas, creas tu reglas, pruebas y cuando este todo listo cierres la regla que permite todo.

Aprende a saber que puertos protocolos/requiere cada uno de los sistemas que usas, conocelos.

Un paranoico siempre esta preparado…

c_setup

Excelente post¡ siempre se aprende con PFsense. :P