Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ayuda para forzar uso del proxy

    Scheduled Pinned Locked Moved Español
    16 Posts 4 Posters 10.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tlzsystem
      last edited by

      Hola!
      muchas gracias por tu respuesta!!
      Esta es una imagen de mi configuracion.
      http://s9.postimg.org/crqjq7bu7/captura_firewall.png

      IPv4 * * * * * * none Default allow LAN to any rule
      Estas las cree yo para intentar
          (Permiten)
      IPv4 TCP/UDP 192.168.1.1 3128 * 80 (HTTP) * none
      IPv4 TCP/UDP 192.168.1.1 3128 * 443 (HTTPS) * none
      (Deniegan)
              IPv4 TCP/UDP 192.168.1.1 *         * 80 (HTTP) * none  
              IPv4 TCP/UDP 192.168.1.1 * * 443 (HTTPS) * none

      muchas gracias ojalas puedas ayudarme

      1 Reply Last reply Reply Quote 0
      • R
        rodria
        last edited by

        La primera regla elimina todas las demás, ya que todas las peticiones entrarán por esa… la primera debes eliminarla, y las otras están mal, no necesitas "redireccionar" puerto, solo las que te indiqué.

        Si tienes DMZ deberás crar reglas entre esas interfaces....

        Saludos.

        1 Reply Last reply Reply Quote 0
        • T
          tlzsystem
          last edited by

          Hola!
          muchas gracias.
          Parece que ya esta funionando. Cuando estoy sin proxy me dice "no hay conexion a internet"etc . Pero cuando navego con proxy me aparece el mensaje en Google Chrome "No se puede establecer conexion con el servidor Proxy" y aun asi sigo sin navegacion.
          Te dejo una captura del firewall
          http://s10.postimg.org/8qpb4vpbt/captura_firewall_2.png

          Muchas gracias por tus respuestas

          1 Reply Last reply Reply Quote 0
          • R
            rodria
            last edited by

            Prueba con firefox y configura el proxy en sus herramientas, crhome cambió su modo de manejo del proxy, al menos en linux que es lo que uso, y para poder usar proxy con chrome en linux debes hacer algo como:

            crhome-stable –proxy-server="http=IP:Puerto"

            Saludos

            1 Reply Last reply Reply Quote 0
            • T
              tlzsystem
              last edited by

              muchas gracias.

              Pero lo probé y no funciona.
              Cuando desactivo la primera regla me quedo sin navegacion y cuando estoy con proxy no hay ping ni conexion a internet ni tampoco puedo entrar a la configuración de pfsense. Cuando estoy sin proxy es cuando puedo entrar a configuracion de pfsense pero tampoco tengo internet.

              1 Reply Last reply Reply Quote 0
              • R
                rodria
                last edited by

                Tienes una muy mala configuración en tus reglas… deberías poder entrar a pfsense anyway, es una regla por defecto que viene en pfsense y dice:

                Anti-Lockout Rule ;-)

                Proto    Source      Port    Destination   Port                       Gateway    Queue    Schedule    Description

                1      *              *                *     LAN Address   Puerto_pfSense                                *                  *          Anti-Lockout Rule

                2  ICMP          *              *                    *                            *                                                *                  *          Permitir PING
                    Echo Request

                3  UDP          *              *                    *                  53                                                          *                    *          Pdermites consultas DNS

                4  TCP  LanNetwork  *          LanAddress        3128                                                    *                    *        Squid

                Regla 1  es para que te permita ingresar a tu pfSense en caso de que toques una regla y te equivoques y termines perdiendo la administración, el puerto que dice pfSense es el puerto que tengas configurado para acceder al GUI, 80 o 443  o el que hayas especificado.

                Regla 2  te permitirá que desde cualquier lado puedas hacer ping a cualquier lado

                Regla 3  Si no tienes permisos para consultas DNS, no podras ver nunca una página por nombre ej. google.com  yahoo.com  facebook.com  etc

                Regla 4  Todas las máquinas de la Red pueden llegar al pfSense por el puerto 3128 (Proxy)  para ello debes configurar el proxy en el navegador, sino por más que quieras, nunca navegarás, no es solo pfSense, sino tus terminales.

                Llegado a este punto, antes de meterte a configurar equipos de redes, deberías entender primero sobre redes, protocolos, etc, porque de acuerdo a tus comentarios se ve que no tienes mucha idea de lo que haces, sin importar si es pgSense o IsaServer por dar un ejemplo.

                Normalmente te mandaría a leer muchos tutoriales, es la mejor manera de aprender, que estar siguiendo cookbooks, pero lo hago para que te animes a seguir, para próximas dudas deberías de empezar con:

                Tengo problemas con esto, ya hice esto esto y esto que me leí de estos tutoriales y manuales y no me funciona... entonces es allí cuando recibirás más ayuda.

                Saludos.

                1 Reply Last reply Reply Quote 0
                • T
                  tlzsystem
                  last edited by

                  Hola muchas gracias.
                  Ya se soluciono gracias a tu ayuda. Tenia mal configurada la regla del puerto 3128 como UDP pero era TCP.
                  Muchas gracias.

                  La verdad es que llevaba 3 dìas tratando esto y lo intenté todo en foros etc por eso acudí acá.
                  Muchas gracias por tu ayuda espero que esto también le sirva a otros usuarios.

                  Muchas gracias!

                  1 Reply Last reply Reply Quote 0
                  • R
                    rodria
                    last edited by

                    Se me pasó por alto revisar la imagen, y confirmo lo que digo, no tienes idea de lo que estás haciendo, y no es pfSense, sino tus conceptos de redes…

                    Tus reglas dirían algo como:

                    La máquina 192.168.1.1 cuando salga por el puerto 3128 con destino a a cualquier lado y solicitando el puerto 80, déjalo pasar.
                    La máquina 192.168.1.1 cuando salga por el puerto 3128 con destino a a cualquier lado y solicitando el puerto 443, déjalo pasar.

                    Pero inmediatamente después, las mismas reglas te dicen que las bloquees, pero obviamente tomará la primera....

                    Lo que tienes que decirle al firewall es:

                    Cualquier máquina (LanNetwork) cuando salga por cualquier puerto con destino a pfSense (LanAddress) solicitando el puerto 3128, déjalas pasar.

                    Saludos.

                    1 Reply Last reply Reply Quote 0
                    • T
                      tlzsystem
                      last edited by

                      Si, no tenía idea lo que hacía. Pero ahora ya entendí un poco.
                      Muchas gracias

                      1 Reply Last reply Reply Quote 0
                      • A
                        amnarl
                        last edited by

                        Saludos mi estimado eso es sencillo de hacer solo debe armar una reglas en su subred de servicio con destino al proxy por el puerto que usa de hecho creo que en otro post explique como se haria si estan usando limiters . Lo unico que veo que no esta tomando en cuenta es que deberia dejar primero las reglas del dns y acceso a server web si lo posee por encima de la regla hacia el proxy, esto para dar prioridad al trafico de acceso a estos dos lo cual acelera la respuesta en la navegacion. Ejemplo

                        Si tenemos aliasses de clientes por planes : Plan 512, plan 1024, etc estas son las reglas

                        Y la subred de servicios se llama lannet

                        1.Source: lannet puertos any o pàra mayor seguridad especifico (dns) con destination serverweb  puerto (dns)

                        2.Source: lannet  puertos any o pàra mayor seguridad especifico (web) con destination servidorweb puerto (web)

                        3.Source: plan512-plan1024  puertos any  con destination plan512-plan1024 puerto (proxy) "Aca son dos reglas una por cada plan"
                        Y es el sitio donde se aplica los limiters

                        Estamos a la orden Luego de necesitarlo podria colocar algunas en casos que los clientes necesiten usar routers en su punto final etc

                        Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                        http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                        1 Reply Last reply Reply Quote 0
                        • C
                          c_setup
                          last edited by

                          @tlzsystem:

                          Si, no tenía idea lo que hacía. Pero ahora ya entendí un poco.
                          Muchas gracias

                          saludos, podrías subir las imágenes de como quedaron tus reglas??? o si solo cambiaste el protocolo de UDP A TCP que subiste anteriormente en las imagenes.

                          1 Reply Last reply Reply Quote 0
                          • R
                            rodria
                            last edited by

                            @amnarl:

                            …. Lo unico que veo que no esta tomando en cuenta es que deberia dejar primero las reglas del dns y acceso a server web si lo posee por encima de la regla hacia el proxy, esto para dar prioridad al trafico de acceso a estos dos lo cual acelera la respuesta en la navegacion. Ejemplo

                            1.Source: lannet puertos any o pàra mayor seguridad especifico (dns) con destination serverweb  puerto (dns)

                            2.Source: lannet  puertos any o pàra mayor seguridad especifico (web) con destination servidorweb puerto (web)

                            3.Source: plan512-plan1024  puertos any  con destination plan512-plan1024 puerto (proxy) "Aca son dos reglas una por cada plan"
                            Y es el sitio donde se aplica los limiters

                            Estamos a la orden Luego de necesitarlo podria colocar algunas en casos que los clientes necesiten usar routers en su punto final etc

                            Hay errores (mitos) que voy a comentar sobre el post citado:

                            Sobre la prioridad de las reglas:  La velocidad en que se maneja las reglas a nivel de hardware es imperceptible, son nano segundos por así decirlo, pero dependiendo del hardware y el canal puede ser un millón de veces más rápido aún  :D
                            Tener la regla de consultas DNS más abajo de las del proxy no es problema, una consulta DNS jamás va a mirar la regla del proxy como para "perder tiempo", sin embargo yo las uso "arriba" o mejor dicho, en el principio de las reglas, por cuestión de costumbre sobre los servicios básicos.
                            La segunda observación tendría algo de lógica, solo si tus navegadores están mal configurados (o si no has ajustado bien las reglas de un directorio activo al momento de configurar el navegador) ya que tus dominios locales y toda tu red interna, incluyendo la DMZ deben estar exceptuadas del uso de proxy, y navegar directamente a través de las rutas manejadas por los Switches.

                            Sobre los puntos 1 y 2

                            1.- Debes especificar solo el protocolo UDP, DNS hace solo consultas usando el protocolo UDP, se usa TCP cuando un DNS quiere hablar con otro para replicar sus zonas, pero eso es entre servidores DNS. Si dejas habalr TCP por el puerto 53, te puedes conseguir con un listillo se que brinque tu fw aprovechando esa brecha… (No es tema de este post, ni de esta lista; pero ya lo he hecho :D )

                            2.- La sugerencia es que en el origen por "seguridad" se use el puerto web, hasta la fecha, desde que trabajo en redes, nunca he tenido la suerte de ver una apertura de conexión por el puerto 80, generalmente se usan puertos por encima de los 1024 para abrir una conexión, presumo que a amnarl le ha funcionado; pero yo no configuraría una restricción de puertos para apertura de conexión  ;) solo debes limitar la conexión al IP/Aliases destino y puerto destino, osea el socket que está escuchando el servicio al que quieres llegar, por ejemplo, 80 y 443 para web, este último en el caso de que el webserver use SSL . y acá también puedes acotar la regla diciéndole que el protocolo es TCP.

                            Espero haber aclarado los puntos, desde mi más humilde conocimiento en redes.

                            Saludos.

                            Lema: Es mejor enseñar a pescar, que darles el pescado, porque cuando no estés morirán de hambre.
                            Un Chef tiene el conocimiento para hacer un plato, un cocinero solo sigue sus recetas, emprende a ser Chef  ;)

                            1 Reply Last reply Reply Quote 0
                            • A
                              amnarl
                              last edited by

                              Muy buenos sus aportes compañero rodria a veces uno coloca informacion creyendo que el lector tiene conocimiento y realmente es bueno definir explicitamente detalles como  lo que indicas del dns Usted y yo manejamos bien claro que la comunicacion dns en ese tipo de escenario para mayor seguridad es UDP  de hecho el maestro bellera en su apuntes algo antiguos pero funcionales asi lo describe…........

                              Lo de la velocidad que usted indica por el orden de las reglas no fue en ningun momento ese el apunte de mi post sino mas bien el hecho de dejar bien claro que la regulacion o aplicacion de limiters es sobre la regla especifica de acceso al proxy. Ademas afianzado en dar orden en el asunto recordar que hay que tener cuidado en aplicar reglas ya que el orden es importante en algunos casos en los cuales las reglas son parecidas y establecen limitaciones o bloqueos varios o diferentes....

                              En todo caso Agradecido de tomarse la molestia en postear la informacion descripta anteriormente y espero que el compañero al final pueda entender de todo esto la solucion a su problema

                              Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                              http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                              1 Reply Last reply Reply Quote 0
                              • C
                                c_setup
                                last edited by

                                woaw…. siempre se aprende (y se reafirman conocimientos).  Gracias compañeros por estos puntos de vista.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.