Que tal a todos
-
Buenas a todos,
Saludos, me presento: Trasher de Mx nuevo en Pfsense… Di con el buscando alternativas a SmoothWall que empezo a dar problemas en mi red, IPCop no me gusto y m0n0Wall tampoco, y decidi intentar PfSense.
Acabo de instalarlo, estuve moviendo algunas configuraciones y me gusto.
Si algun usuario experimentado me puede guiar con algunas dudas que tengo, estare muy agradecido.
Les pinto el panorama un poco:
Red corporativa, 150 maquinas aprox, algunas laptos unas 20 calculo en total 170. Todas las laptops se conectan mediante wifi por 3 ap distribuidos a lo largo del edificio.
El caso (problema) y reto al que enfrento es el siguiente...
No puedo dejar internet abierto por politicas de la empresa, al principio tenia acls y squid por el anterior ingeniero it de la empresa a la cual pertenezco, pero el principal problema es registrar equipos en el DHPC para que se les pueda asignar ip y consiguiente darlo de alta en la ACL correspondiente, si fuera un usuario al mes o la semana, no tendria problema alguno en hacerlo.... pero como es una empresa con alto trafico de personal y equipos era un cuento de nunca acabar, lo mismo con los programas p2p, bloquear puertos... pero seria el cuento de nunca acabar.
Necesito que tengan salida los puertos "normales" 22,25,80,110 etc. etc. todo lo demas cerrado.
Al grano, lo que necesito es un firewall, con todas las peticiones cerradas para todos los equipos, y que por filtrado mac se les pueda garantizar acceso a internet, y con algun filtro url para olvidarme de crear acl por dominios permitidos.
Se puede hacer? Hay algun manual por ahi en internet ?
Como se ve desde afuera ?
Gracias de antemano a todos.
-
Me imagino que lo mas complicado son los equipos moviles?
Aqui yo pensaria en agregar una NIC dedicada a los usuarios moviles, que por ahi se manejara todos los AP que tienes y ahora si, configuras squid+squidguard y le aplicas las reglas a todos los IP que asigne tu DHCP qu controla tu red WiFi.
Asi no importa que IP les asignes siempre cruzaran tu filtro + WPAD para hacerlo transparente.
Ya los usuarios que van por cable pues es mas facil ya que esos no rotan mucho, squid puede manejarte N numeros de redes sin problemas.
Si puede prendes el cache te va a servir si tienes esa cantidad de trafico nomas que si debes leer un poco para que lo tengas bien para tu trafico.
Los puertos que pides son facil, en la doc checa como agregar, editar/eliminar puertos es la basico, estoy contigo solo abrir lo que se requiera, todos por el proxy.
No abras el 80/443 al menos que tengas un ALIAS y lo controles.
Saludos y bienvenido!!!
-
Gracias periko por la respuesta…
Ahora ya metiendome mas, me llegaron dudas, respecto a como actualmente tengo la instalacinon del firewall que"funciona" enla empresa.
Es una maquina con Slackware... tiene squid, openvpn y tres tarjetas lan.
una tarjeta es la que conecta al modem DSL en modo bridge.
otra, tiene ip de la otra subred q manejo en la misma empresa. (imagino que hace de enlace)
otra la ip comunmente conocida como GREEN.La pregunta en concreto es, se usaran 4 tarjetas de red en esta nueva maquina que hara de firewall ?
Creo que no esta conectado correctamente acutalemnte... tiene un cable cruzado del switch al modem, lo desconecto y toda la empresa se queda sin internet...
Segun mis conocimientos el equema debe estar asi:
SubRED Wifi (equipos moviles)
|
|
Internet -> modem DSL -> Firewall -> LAN
|
|
|
Servidores AplicacionesComo configurar la VPN que actualmente tengo? se puede hacer con pfsense ? o necesitare instalar paqueteria adicional?
-
Es tal cual lo mencionas.
Respecto a lo anterior, coincido con periko lo más fácil es separar los usuarios móviles del resto, usando otra interfaz donde conectes los APs (o incluso una VLAN separada).
OpenVPN se puede configurar sin problemas sobre pfSense, lo que sí cuidado porque si queires retener exactamente la misma funcionalidad vas a tener que migrar los certificados y demás.
Saludos!
-
Bueno, ya instale pfsense en una maquina…. a 64b.
Instalacion y primer arranque sin problemas.
Pero no enlaza el pppoe... segun el log esta up y activo pero no tengo salida a inet.
Debe tener alguna configuracion especial?
Uso infinitum de telmex... pongo nombre de usuario y passwd, pero nada. El modem esta en modo bridge.
-
Hola trasher.
Mira alguno modems de telnor agarran sin problemas, otros ahi que meterse a la config y ponerlo en modo puete.
1; Metete a el modem de telmex, cambias la cuenta que usa para la conexion por la que tu tienes, reinicias y confirmas que puedas navegar, si puedes navegar entras de nuevo y validas que este tu cuenta y no haya cambiado a la cuenta de fabrica.
2; Cambias el modem y lo pones en modo puente, esto deshabilita el dhcp que es lo que necesitamos y el modem deja de funcionar como fw, pfsense toma el control.A veces, cuando no agarra el pfsense un reset a el modem y listo, claro ya conectado a el pfsense-wan, te recomiendo que pfsense no este en el mismo rango de red que el modem.
Saludos.
-
Periko mil gracias….
Ya esta up mi pfsense...
Ahora continuo con squid-squidguard.
Cualquier problema les informo.
Saludos!