Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Permitir internet por 1 hora y luego bloquearlo pero permitir intranet siempre

    Scheduled Pinned Locked Moved Español
    7 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      GearFried
      last edited by

      Saludos.
      Estoy realizando un proyecto académico que requiere una LAN para funcionarios internos y otra LAN para un hotspot que permita internet por 1 hora al día, luego de la hora se bloquea el internet pero siempre debe estar disponible la intranet específicamente un web server interno.

      No tengo claro cómo hacerlo.

      Desde ya agradezco la orientación.

      1 Reply Last reply Reply Quote 0
      • A
        Aleximper
        last edited by

        Buen día

        Primero crear schedulers, para internet crear una regla y en las opciones avanzadas aplicar dicho scheduler, para la intranet debes crear otra regla sin scheduler.  Para crear un scheduler y como aplicarlo, mira en la documentación.

        Saludos

        1 Reply Last reply Reply Quote 0
        • J
          j.sejo1
          last edited by

          Yo me iria con un proxy cache (squid)

          Pero el tema de acl y horarios lo aplicaria con squidguard.

          He estado contento con la forma en que pfsense gestiona squidguard.

          Y eso que yo soy pro Debian para este tipo de servicios dedicados.  (proxy)

          La opcion que te recomienda Aleximer aplica tambien, pero es mal a nivel de tcp.

          Ahora permitir internet no siempre significa permitir por ej:  Pagina pornograficas, entonces alli entra squidguard.

          Saludos.

          Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
          Hardening Linux
          Telegram: @vtlbackupbacula
          http://www.smartitbc.com/en/contact.html

          1 Reply Last reply Reply Quote 0
          • G
            GearFried
            last edited by

            Saludos

            No tenía todos los datos y creo que no expliqué claramente el asunto.
            El proyecto es netamente academico enfocado a un municipio.

            Necesito gestionar 2 LAN, adjunto esquema
            LAN 1: Dependencias públicas con acceso a internet/intranet con ancho de banda diferentes para cada una y filtrado de sitios web a todas.
            LAN 2: Esta es para la red de internet WiFi gratuito del municipio y creo que es la más complicada.
                      Para la LAN 2 se tiene un portal cautivo de Ubiquiti con el controlador instalado en un cloud server (AWS).
                      Al portal se autentica por facebook; el cual no controla tiempo ni ancho de banda ni filtrado web.
                      Se quiere limitar el internet a 1 hora al día pero permitir acceso 24/7 a un web server interno (intranet).
                      Filtrado web (pornxxx y similares)

            estuve revisando los schedules pero limitan el tiempo a una horario específico lo cual no conviene.
            El squidguard si que me sirve para el filtrado web en ambas LAN.

            Agradezco su tiempo y ayuda en este tema.

            ![esquema propuesto.png](/public/imported_attachments/1/esquema propuesto.png)
            ![esquema propuesto.png_thumb](/public/imported_attachments/1/esquema propuesto.png_thumb)

            1 Reply Last reply Reply Quote 0
            • J
              j.sejo1
              last edited by

              En cuanto a tu esquema propuesto.

              Lan1, esta ok a nivel de conexión. en cuanto al filtro web te apoyas con squidguard y en cuanto al ancho de banda lo debes hacer con DelayPool en Squid.

              La Lan2 es la que no entiendo un poco por el tema del Ubiquiti en la Nube, por que el deber ser seria como te adjunto en la imagen (si el ubiquiti lo tuvieras local) El AP iría al Ubuquiti,  el Ubiquiti se encargaría de gestionar totalmente el Portal Cautivo, y el Pfsense solo le brindaría seguridad al Ubiquiti y le daría los permisos necesarios de entrada/salida.

              El Modulo de portal cautivo de Pfsense es muy limitado, por los momentos yo he usado autenticación local. Pero definir que navegues por 1 hora y ya no mas, pero si puedas seguir con los servicios internos habrá que verlo.  Por eso si el ubiquiti tiene mejores opciones, deberías aprovecharlo.

              Lo Único del ubiquiti es que lo tienes en la Nube,  lo que no entiendo es que te conectas al AP,  luego pasas por pfsense para ir la la Nube para validar con el Portal Cautivo, para luego bajar y después volver a salir…... No lo estoy viendo.  Por donde navega el Pfsense? tiene su propio enlace?

              Pregunto?  por que el Ubiquito en la nube?  local no lo puedes tener?

              ![esquema propuesto2.png](/public/imported_attachments/1/esquema propuesto2.png)
              ![esquema propuesto2.png_thumb](/public/imported_attachments/1/esquema propuesto2.png_thumb)

              Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
              Hardening Linux
              Telegram: @vtlbackupbacula
              http://www.smartitbc.com/en/contact.html

              1 Reply Last reply Reply Quote 0
              • G
                GearFried
                last edited by

                Listo. Aprobado LAN1 con gestión de ancho de banda y filtrado web.

                LAN2 consulté y sí es posible poner el controlador en la misma LAN que los AP pero se debe abrir ciertos puertos porque tiene una API para autenticación mediante facebook y para ello el controlador debe estar accesible desde internet.

                Ya me queda controlar el tiempo (Ubiquiti no lo hace) ó proponer limitar los megas (como las operadoras móviles) pero se debe mantener el acceso 24/7 al servidor web interno.

                1 Reply Last reply Reply Quote 0
                • J
                  j.sejo1
                  last edited by

                  Entonces no es portal cautivo,  ya que necesitas que siempre vean los servicios internos.

                  Recuerda que el portal cautivo de habilita internet y conexión a la red en si.

                  Dejame ver si consigo algo adicional, pero ya aqui no entra el portal cautivo.

                  Hay que buscar la forma de que tengas una cuota de navegacion diaria y listo.

                  Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                  Hardening Linux
                  Telegram: @vtlbackupbacula
                  http://www.smartitbc.com/en/contact.html

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.