Permitir internet por 1 hora y luego bloquearlo pero permitir intranet siempre



  • Saludos.
    Estoy realizando un proyecto académico que requiere una LAN para funcionarios internos y otra LAN para un hotspot que permita internet por 1 hora al día, luego de la hora se bloquea el internet pero siempre debe estar disponible la intranet específicamente un web server interno.

    No tengo claro cómo hacerlo.

    Desde ya agradezco la orientación.



  • Buen día

    Primero crear schedulers, para internet crear una regla y en las opciones avanzadas aplicar dicho scheduler, para la intranet debes crear otra regla sin scheduler.  Para crear un scheduler y como aplicarlo, mira en la documentación.

    Saludos



  • Yo me iria con un proxy cache (squid)

    Pero el tema de acl y horarios lo aplicaria con squidguard.

    He estado contento con la forma en que pfsense gestiona squidguard.

    Y eso que yo soy pro Debian para este tipo de servicios dedicados.  (proxy)

    La opcion que te recomienda Aleximer aplica tambien, pero es mal a nivel de tcp.

    Ahora permitir internet no siempre significa permitir por ej:  Pagina pornograficas, entonces alli entra squidguard.

    Saludos.



  • Saludos

    No tenía todos los datos y creo que no expliqué claramente el asunto.
    El proyecto es netamente academico enfocado a un municipio.

    Necesito gestionar 2 LAN, adjunto esquema
    LAN 1: Dependencias públicas con acceso a internet/intranet con ancho de banda diferentes para cada una y filtrado de sitios web a todas.
    LAN 2: Esta es para la red de internet WiFi gratuito del municipio y creo que es la más complicada.
              Para la LAN 2 se tiene un portal cautivo de Ubiquiti con el controlador instalado en un cloud server (AWS).
              Al portal se autentica por facebook; el cual no controla tiempo ni ancho de banda ni filtrado web.
              Se quiere limitar el internet a 1 hora al día pero permitir acceso 24/7 a un web server interno (intranet).
              Filtrado web (pornxxx y similares)

    estuve revisando los schedules pero limitan el tiempo a una horario específico lo cual no conviene.
    El squidguard si que me sirve para el filtrado web en ambas LAN.

    Agradezco su tiempo y ayuda en este tema.

    ![esquema propuesto.png](/public/imported_attachments/1/esquema propuesto.png)
    ![esquema propuesto.png_thumb](/public/imported_attachments/1/esquema propuesto.png_thumb)



  • En cuanto a tu esquema propuesto.

    Lan1, esta ok a nivel de conexión. en cuanto al filtro web te apoyas con squidguard y en cuanto al ancho de banda lo debes hacer con DelayPool en Squid.

    La Lan2 es la que no entiendo un poco por el tema del Ubiquiti en la Nube, por que el deber ser seria como te adjunto en la imagen (si el ubiquiti lo tuvieras local) El AP iría al Ubuquiti,  el Ubiquiti se encargaría de gestionar totalmente el Portal Cautivo, y el Pfsense solo le brindaría seguridad al Ubiquiti y le daría los permisos necesarios de entrada/salida.

    El Modulo de portal cautivo de Pfsense es muy limitado, por los momentos yo he usado autenticación local. Pero definir que navegues por 1 hora y ya no mas, pero si puedas seguir con los servicios internos habrá que verlo.  Por eso si el ubiquiti tiene mejores opciones, deberías aprovecharlo.

    Lo Único del ubiquiti es que lo tienes en la Nube,  lo que no entiendo es que te conectas al AP,  luego pasas por pfsense para ir la la Nube para validar con el Portal Cautivo, para luego bajar y después volver a salir…... No lo estoy viendo.  Por donde navega el Pfsense? tiene su propio enlace?

    Pregunto?  por que el Ubiquito en la nube?  local no lo puedes tener?

    ![esquema propuesto2.png](/public/imported_attachments/1/esquema propuesto2.png)
    ![esquema propuesto2.png_thumb](/public/imported_attachments/1/esquema propuesto2.png_thumb)



  • Listo. Aprobado LAN1 con gestión de ancho de banda y filtrado web.

    LAN2 consulté y sí es posible poner el controlador en la misma LAN que los AP pero se debe abrir ciertos puertos porque tiene una API para autenticación mediante facebook y para ello el controlador debe estar accesible desde internet.

    Ya me queda controlar el tiempo (Ubiquiti no lo hace) ó proponer limitar los megas (como las operadoras móviles) pero se debe mantener el acceso 24/7 al servidor web interno.



  • Entonces no es portal cautivo,  ya que necesitas que siempre vean los servicios internos.

    Recuerda que el portal cautivo de habilita internet y conexión a la red en si.

    Dejame ver si consigo algo adicional, pero ya aqui no entra el portal cautivo.

    Hay que buscar la forma de que tengas una cuota de navegacion diaria y listo.


Log in to reply