Teamviewer pfsense 2.2.6
-
Hola buenas tardes, estoy batallando para bloquear todo a un pc y solo dejar el teamviewer funcionando
la regla tengo asi
IPv4 TCP 192.168.1.0/24 * * * * none (toda la red bloqueada)
IPv4 TCP/UDP * 5938 * 5938 * none (toda la red pueda salir por el puerto 5938, que es teamviewer) pero no me funcionaAlguien a tenido el mismo problema saludos
-
https://doc.pfsense.org/index.php/Firewall_Rule_Basics
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting
Es mas fácil "entender" tus reglas si adjuntas una captura de pantalla ;)
-
Hola.
Pon las reglas permisivas específicas las primeras (añadiría una regla que permita consultas DNS), y la que bloquea todo al final
Salu2
-
Teamviewer necesita el puerto 5938 así que deberías permitir a la máquina salir por ese puerto.
Sin embargo, no estoy seguro de que eso sea suficiente pues me parece que igual necesita salir a Internet para anunciarse en los servidores de Teamviewer y eso lo hace por el puerto 80 o por un proxy. Conseguir las IP de destino se los servidores sería ideal pero no es algo fácil de conseguir ni mantener ya que van cambiando.
-
Pues sigo embolado con el teamviewer y todo lo demás
Asi tengo mi configuración segun lo que he leido (y leido bastante las reglas se ejecutan de arriba hacia abajo
2 y 3 dejo pasar todo por ipv4 y ipv6
4 dejo pasar dns
5 dejo pasar todo a las ip de teamviewer
6 dejo pasar todo al puerto de teamviewer
7 hago una prueba si la pc 192.168.2.181 puede ver la pagina de http://www.alcancelibre.org/
8 cierro todo al ip 192.168.2.181aquí no cierro nada la pc con la 181 tiene toda la navegación si la regla 8 la muevo antes de las 2 no tengo salida de nada, alguien que me auxilie, gracias :'(
-
Si, se aplican de arriba hacia abajo, pero la primera que cumple se aplica y no se evalúan las siguientes…. (First match wins)
Por lo que si tu primera regla (2) es "allow all" (any / * / permite todo) las de abajo (4, 5, 6, 7 y 8) son inútiles, ya que nunca aplicarán.
En, las reglas a menos que necesites realizar "Policy Routing" o que utilices "Muti-WAN" No especificas GW ;)
Por aquí tienes un tema acerca de TV https://forum.pfsense.org/index.php?topic=99840.msg556283#msg556283
-
Deje las reglas de esta forma
Revisando el post anterior se deberia de portar asi
regla 1 Todos pueden ver servidores de DNS
regla 2 Todos pueden ver las ip de teamviewer
regla 3 Todos pueden ver el puerto de teamviewer
regla 4 Todos pueden ver la url www.alcancelibre.org
regla 5 Cierra todo lo demas a la ip 192.168.2.181Con esta regla no puedo ni usar teamviewer ni ver la url www.alcancelibre.org que es lo que en un principio quiero hacer ::) me explico?
-
En la Regla 1, cambia UDP a TCP/UDP
Verifica que la resolución de Nombres esté Funcionando (nslookup)
En la Regla 2 (que es una regla Pass, no de Bloqueo), qué tienes en al alias "tvip" ? (adjunta captura de pantalla)
La regla 3 ???? permites salir a "cualquier" (any / *) IP con puerto de destino 5938 (no solo a tv)….
En la regla 4, qué tienes en al alias "alcance" ? (adjunta captura de pantalla)
En la regla 5, si quieres bloquear "todo" para el Host 192.168.2.181 utiliza "any" como protocolo ;)
Tu LAN está en el segmento 192.168.2.0/24 ?
-
@ptt:
En la Regla 1, cambia UDP a TCP/UDP
Verifica que la resolución de Nombres esté Funcionando (nslookup)
En la Regla 2 (que es una regla Pass, no de Bloqueo), qué tienes en al alias "tvip" ? (adjunta captura de pantalla)
La regla 3 ???? permites salir a "cualquier" (any / *) IP con puerto de destino 5938 (no solo a tv)….
Si es el puerto de teamviewer y queria ver si no es por ip por el puerto 80 que vaya por este puerto pero ni asi
En la regla 4, qué tienes en al alias "alcance" ? (adjunta captura de pantalla)
En la regla 5, si quieres bloquear "todo" para el Host 192.168.2.181 utiliza "any" como protocolo ;)
Tu LAN está en el segmento 192.168.2.0/24 ?
Si esta en el segmento 192.168.2.0/24 y efectivamente para la prueba quiero bloquear todo para la ip 192.168.2.181 menos la pagina www.alcancelibre.org y el teamviewer
-
Si esta en el segmento 192.168.2.0/24 y efectivamente para la prueba quiero bloquear todo para la ip 192.168.2.181 menos la pagina www.alcancelibre.org y el teamviewer
Pues, con las reglas que tienes, NO es eso lo que estás haciendo…. vuelve a leer los links a la documentación
-
@ptt:
Si esta en el segmento 192.168.2.0/24 y efectivamente para la prueba quiero bloquear todo para la ip 192.168.2.181 menos la pagina www.alcancelibre.org y el teamviewer
Pues, con las reglas que tienes, NO es eso lo que estás haciendo…. vuelve a leer los links a la documentación
OK gracias
-
RESUMEN
Después de leer y leer
Asi quedaron las reglas, desde la pc de pruebas antes de poner la 1er regla revisaba con un telnet y despues de aplicar la regla lo volvi a revisar con el telnet, funcionando al 100% DNS, POP, TeamViewer, Smpt
Pero habilitando el 80 esa regla no me funciona, ni navega ni hace un telnet a un servidor apache que tengo publicado en la nube
Seguire investigando que le pasa y con los resultados se los compartiré para los muy novatos como yo tengan de donde tener una idea
-
Como era de esperarse error mio, no me acordaba que instale squid desde el principio ahi es donde se configura las salidas, gracias por sunapoyo