Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Duda sobre como bloquear "VPN's" Hamachi en mi red

    Español
    5
    7
    1.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      changetzu
      last edited by

      Hola, buenos días.

      Tengo un pfSense 2.3.1 Update 5, instalado en un equipo dell T3400, con 3 tarjetas de red, la wan, la lan, y la opt1.
      Dicho esquipo está configurado como: proxy transparente con squid +squidguard + man in the middle
      La interfaces opt1 es la que tiene activo el proxy con sus filtros, la lan pasa normal.

      Mi duda es sobre como puedo efectuar un bloqueo (o ralentizar hasta el punto de lo inutilizable) conexiones "VPN" con el Software Hamachi.

      Un par de usuarios usan dicho software en conjunto con otro para generar su propio proxy y poder para navegar a través del filtro del squid. Dichas conexiones son intermitentes, según he podido observar.

      Instalé Hamachi en mi equipo para efectuar pruebas, y pude obtener los puertos (local, remoto :49351,12975) y una ip del servidor (69.25.247.108) que efectúa la retransmisión cuando la conexión directa no es posible.

      Con estos datos, generé una regla para la segmento de red completa de esa ip (con el whois de arin.net 69.25.247.0/24) , así como direccioné los puertos a una ip no usada en la red. (anexo captura de pantalla por si no las efectué correctamente)

      En este caso, no se si existe otro método mas fiable a largo plazo para bloquear el uso de "vpn's" Hamachi, ya que los puertos se pueden cambiar y deben de tener varios segmentos con servidores de retransmisión.

      gracias y saludos
      ![Captura de pantalla 2016-07-27 19.48.50.png](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.48.50.png)
      ![Captura de pantalla 2016-07-27 19.48.50.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.48.50.png_thumb)
      ![Captura de pantalla 2016-07-27 19.58.06.png](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.58.06.png)
      ![Captura de pantalla 2016-07-27 19.58.06.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-07-27 19.58.06.png_thumb)

      1 Reply Last reply Reply Quote 0
      • A
        acriollo
        last edited by

        Muy facil, recopila evidencia, haz un reporte y levanta un acta administrativa para tus amigos que hacen uso de los recursos de la empresa de una manera no permitida. Si no hay respuesta de la gerencia, no vale la pena preocuparse.

        Esto es igual si se llevaran de juerga el carro de la empresa que tiene el logo de la empresa a un antro de mala muerte.

        No todo en esta vida es tecnologia , las politicas de uso deben de reforzarse o de otra forma esto acaba siendo un caricatura del correcaminos y el coyote.

        1 Reply Last reply Reply Quote 0
        • R
          rocaembole
          last edited by

          Se puede bloquear hamachi con traffic shaping en layer 7???

          Habria que ver eso, quizas, se consiga de una manera sencilla aplicando politicas de filtrado en capa 7

          Saludos!

          No Pain
          No Gain

          1 Reply Last reply Reply Quote 0
          • V
            villi
            last edited by

            Hola amigo

            Lo que yo hago para bloquear todo tipo de acceso es a través de una regla pero en vez de ponerla en WAN la coloco en LAN. Esto hace que cuando un equipo conectado a la LAN intenta ingresar a Hamachi este le niegue el acceso. Esto lo utilizo muy seguido para bloquear páginas indecentes y no me ha causado problemas.

            OJO: desde otra regla con privilegio se deben de colocar aquellas IPs que si tienen acceso, ya que de otra manera te lo bloquearía a todos.

            Espero que te ayude  :)

            1 Reply Last reply Reply Quote 0
            • A
              acriollo
              last edited by

              Hola, las buenas practicas indican que hay que bloquear todo el trafico de salida e ir abriendo poco a poco el acceso a los recursos requeridos. Aunque esto hace mas complicada la administración del firewall a la larga evita que los usuarios accedan a aplicaciones como las que menciona el compañero.

              Si el usuario solo requiere navegacion y correo ,  hay que cerrar lo demás.  Se oye sencillo pero en la practica es complicado con una red de muchos usuarios, pero creo yo que es la mejor opcion.

              saludos

              1 Reply Last reply Reply Quote 0
              • C
                changetzu
                last edited by

                Buenos dias.

                Gracias por los comentarios y la atencion.

                acriollo, Si, definitivamente si. Mi superior ya vio las bondades de tener en la red la caja pfsense, desde su instalación mensualmente me solicita un reporte (muy básico) sobre el estado de la red. Voy a agregar ese comentario con respecto al Hamachi y mi inquieto par de usuarios.

                rocaembole No tengo idea XD , pero seria cuestión de ponerme a hacer pruebas con una red temporal para verificar si existe manera de implementar algo de esa índole. Sobretodo, por que el Hardware donde tengo actualmente Pfsense, es una Workstation ya con sus años en la espalda.

                villi Abusando de tu amabilidad, no se si podrías indicarme con un ejemplo, porque coloqué una regla antes de la que adjunto en la lan, pero no vi modificaciones en el comportamiento (no hay que descartar la posibilidad de que las esté generando mal).

                En cuanto a implementar el filtro al revés, tendría que analizarlo con calma. Definitivamente concuerdo con ustedes, es la manera correcta de administrar la red, pero por el giro de la empresa (automatización) mis usuarios tienden a "divagar" por la red buscando respuestas para las dudas que surgen en el día a día con el trabajo.

                Voy a ir paulatinamente recopilando los datos de los servicios y sitios que ocupamos normalmente, para hacer la prueba de invertir el sentido del bloqueo como prueba en cuanto tenga la oportunidad.

                Gracias por sus comentarios :)

                1 Reply Last reply Reply Quote 0
                • pttP
                  ptt Rebel Alliance
                  last edited by

                  "Usualmente/Generalmente" las Reglas de Firewall (Pass/Block) las creas en la interface a la que "ingresa" el Tráfico que quieres Bloquear/Pasar.

                  Si quieres Bloquear el acceso de un Host (usuario) de la LAN a un "recurso/servicio" que está en Internet, creas la Regla "Block" en la LAN.

                  Revisa la Documentación oficial:

                  https://doc.pfsense.org/index.php/Firewall_Rule_Basics

                  https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

                  https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.