Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema

    Español
    3
    31
    13.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gerar2
      last edited by

      muchas gracias por tomarce un minuto y leer mi post, le envio saludos desde venezuela con mucho gusto
      he leido, muchos post este portal cada dia me asombra mas, mucha gente aportando ayuda en especial el señor Bellera, bueno en este post escribo para dar a conocer mi problema…

      tengo pfsense conectado de la siguiente forma
      1)LAN la cual tengo con la direccion 10.0.0.0
      2)WAN
      3)OPT1 la cual tengo la 192.168.0.0
      para poder hacer que navegara la opt1 debi crear una regla en el firewall similar a la que aparece en la regla de firewall en la lan,
      *  LAN net  *  *  *  *      Default LAN -> any  pero usando OPT1
      hasta ahi todo muy bien hasta que decidi bloquear puertos para eliminar ares, msn etc....
      hice la configuracion para bloq el puerto con el que se conecta el msn pero no funciono wlm se esta conectando por http creo que lo vi por un netstat

      bueno al crear la regla con el puerto http y desabilitar la regla
      *  LAN net  *  *  *  *      Default LAN -> any
      y dejar habilitada la
      TCP/UDP  LAN net  *  *  80 (HTTP)  *      internet 
      se me va la conexion a internet por esa razon no he podido filtrar los puertos
      la misma configuracion la hice con tcp, he reiniciado el equipo, pero nada simplemente al aceptar los cambios el internet se me va de una y tengo que habilitar de nuevo la regla de default y dejar pasar los p2p a mi red, saludos y gracias de antemanos

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¡Hola!

        Debatido muchas veces…

        Un hilo que puede ayudarte:

        http://forum.pfsense.org/index.php/topic,6199.msg35972.html#msg35972

        Como mínimo tienes que autorizar como destinos:

        TCP 80 (http)
        TCP 443 (https)
        UDP 53 (dns)

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • G
          gerar2
          last edited by

          hola Sñr. Bellera muchas gracias por tomarce su tiempo para responder
          pero tengo una pregunta a la respuesta que has dejado
          ahi que crear las 3 reglas simultaneas

          por que solo he hecho la del puerto 80 que es http
          y enseguida se me callo el internet
          creo que la hice con la 443 que es https
          pero de igual forma al desabilitar la regla de default que deja pasar todo el internet enseguida se va. de todas formas chekare el link que dejaste a ver que resuelvo muchas gracias

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            ¡Hola de nuevo!

            Las tres, como en el ejemplo que te dí:

            http://forum.pfsense.org/index.php/topic,6199.msg35972.html#msg35972

            Y como estás explicado en el tutorial que hice en su día:

            www.bellera.cat/josep/pfsense/indice.html

            Si los equipos no pueden interpretar nombres de Internet no pueden navagar. Eso es lo que hace el tráfico DNS.

            Saludos,

            Josep Pujadas

            1 Reply Last reply Reply Quote 0
            • G
              gerar2
              last edited by

              bueno muchas gracias sñr Bellera, mañana lo pruebo en el trabajo a ver que tal, pero tengo otra duda
              en el pfsense de mi casa que esta trabajando perfectamente no tiene agregado el puerto 53 en la reglas del firewall y anda perfecto??

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                en el pfsense de mi casa que esta trabajando perfectamente no tiene agregado el puerto 53

                Porque estarás empleando el DHCP de pfSense y entonces el DNS para los equipos es el propio pfSense, que a su vez va a los DNS que tengas en [System] pero a pfSense no le hace falta regla alguna…

                1 Reply Last reply Reply Quote 0
                • G
                  gerar2
                  last edited by

                  muchas gracias muchas gracias, Sñr Bellera hablite el puerto 53 y todo bien,
                  a lo mejor como en mi casa tengo el dhcp activado es por eso pero habilite todo y anda perfecto

                  1 Reply Last reply Reply Quote 0
                  • G
                    gerar2
                    last edited by

                    luego de denegar algunos puertos y dar paso a los mas conocidos y asi filtrar los p2p de mi red. me encuentro con el siguiente problema
                    instale squid y estoy bloqueando paginas como facebook, etc…
                    me encuentro con muchos usarios que estan instalando ULTRASURF
                    luego de abir ese programa, puedes visitar todo
                    el programa trabaja con el puerto 443; HTTPS
                    si bloqueo el 443 no podre entrar a las web seguras

                    1 Reply Last reply Reply Quote 0
                    • G
                      gerar2
                      last edited by

                      otro problema mas en realidad no se a que se debe, ya que apague el servidor pfsense
                      antes de eso tenia 2 redes lan y 1 wan
                      podia hacer ping de la lan a la opt1 y viceversa luego de encender el equipo,
                      no puedo hacer nisiquiera ping a la opt1
                      la lan la tengo 10.0.0.0
                      la opt1 192.168.100.1

                      1 Reply Last reply Reply Quote 0
                      • belleraB
                        bellera
                        last edited by

                        ¡Hola!

                        me encuentro con muchos usarios que estan instalando ULTRASURF

                        En versiones futuras (2.0) Traffic Shapper detectará por patrones las aplicaciones, con lo que se podrán tomar medidas por aplicación.

                        Actualmente la solución es trabajar con los puertos de destino, como comentas, y con las IPs de destino. Sigue los siguientes pasos:

                        1. Averigua qué las IPs de los servidores emplea este programa, mediante análisis de que hacen tus usuarios.
                        2. Ve después a http://ws.arin.net/whois/ para averiguar todo el tramo de red en Internet.
                        3. Una vez tengas los rangos de IPs que emplea el programa crea un alias en pfSense con los rangos de IPs problemáticas.
                        4. Crea una regla de bloqueo con destino el alias.

                        Este es un método. Tienes dos más posibles:

                        • Proxy squid con squidGuard para filtrado de destinos. Algún usuario de pfSense tendría que decirnos si el squid+squidGuard de pfSense es capaz de filtrar https, tanto en modo no transparente como en transparente. Si trabajas en modo no transparente hay que configurar en los navegadores el proxy y poner una regla que bloquee el tráfico directo (por si el usuario desconfigura el proxy). En modo transparente el usuario no se entera de que hay proxy (pero entonces pierdes la posibilidad futura de validación de usuario en el proxy).

                        • Si administras la red y son estaciones Windows pensar en Active Directory y políticas de seguridad.

                        Saludos,

                        Josep Pujadas

                        1 Reply Last reply Reply Quote 0
                        • belleraB
                          bellera
                          last edited by

                          @gerar2:

                          otro problema mas en realidad no se a que se debe, ya que apague el servidor pfsense
                          antes de eso tenia 2 redes lan y 1 wan
                          podia hacer ping de la lan a la opt1 y viceversa luego de encender el equipo,
                          no puedo hacer nisiquiera ping a la opt1
                          la lan la tengo 10.0.0.0
                          la opt1 192.168.100.1

                          ¿Ya tienes autorizado el tráfico en LAN hacia la OPT1?

                          Tienes que crear reglas específicas para poder ir a OPT1. O simplemente una que permita todo, para testear.

                          Saludos,

                          Josep Pujadas

                          1 Reply Last reply Reply Quote 0
                          • G
                            gerar2
                            last edited by

                            como seria mas o menos la regla, no se si es asi
                            TCP/UDP  LAN net  *  OPT1 net  *  *      lan-opt1
                            de no serlo porfavor indiqueme Sñr Bellera.

                            referente a este tema

                            • Si administras la red y son estaciones Windows pensar en Active Directory y políticas de seguridad.
                              tengo active directory, pero lo tengo solo para aunteticacion de los usuarios en el dominio, pero comenzare a testiar las politicas de seguridad.
                            1 Reply Last reply Reply Quote 0
                            • belleraB
                              bellera
                              last edited by

                              ping es ICMP. No es ni TCP ni UDP. O sea que si quieres autorizar todo de LAN a OPT1 la regla debe ser:

                              *      LAN net      *      OPT1 net      *      *            lan-opt1

                              Si tienes los usuarios autentificados con AD puedes establecer qué programas pueden ejecutar los usuarios, si son o no administradores de sus máquinas, etc.

                              1 Reply Last reply Reply Quote 0
                              • G
                                gerar2
                                last edited by

                                Sñr Bellera es un crack :D
                                la solucion que me diste quedo muy bien
                                comenzare a buscar opciones de seguridad para ad
                                muchas gracias hermano

                                si no es mucha molestia tengo otra duda
                                pero no es referente al pfsense
                                resulta que estoy montando un servidor de voz ip tengo y tengo que darle ese servicio a otra oficina
                                resulta que de aqui sale la señal en un ap trango
                                servidor voz ip===>router cisco 3800===>ap trango===>aptrango===>routerciscoserie900===lan interna
                                    interno                interno                    interno            extreno        externo                    externo

                                1 Reply Last reply Reply Quote 0
                                • belleraB
                                  bellera
                                  last edited by

                                  ¡Hola de nuevo!

                                  Sobre la VoIP creo que todo se trata de abrir los puertos (NAT) que sean necesarios. Tengo un PAP2 funcionando (http://en.wikipedia.org/wiki/Linksys_PAP2) y se redujo a eso. De hecho como sólo lo empleamos para llamadas salientes no era ni necesario abrir los puertos.

                                  Como siempre, documentarse con los manuales de los equipos y participar en foros especializados.

                                  ¡Suerte!

                                  Josep Pujadas

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    gerar2
                                    last edited by

                                    hola de nuevo  Sñr. Bellera
                                    lo que me preocupa es que el el servidor de voz ip esta una subred 10.0.0.0, para llegar a la oficina viaja por una red 192.168.100.0y luego en la oficina ahi una red interna que debe ser 192.168.1.0
                                    como te dije anteriormente el problema es que no se si el servicio puede funcionar haciendo esos saltos de subred, y que es loq ue tendria que aplicar por lo menos para tener una idea

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      gerar2
                                      last edited by

                                      hola señor Bellera, espero que este bien y disculpe la molestia de tanto proguntar.
                                      resulta que contrate un servicio de mensajeria de correo en la empresa, al enviar correo desde mozilla thunderbird me sale un error y me dice que la ip la tengo en la lista spammer cbl, consulto la ip externa y la encuentro registrada. me dice que puede ser por virus y un proxy abierto
                                      quiera preguntar si puedo hacer una regla en wan que solo deje pasar los puertos que yo quiera para no tenerlo tan vulnerable, o en ese caso que solucion puedes proponerme ya que he sacado la ip de la lista en 3 ocaciones.
                                      muchas gracias de antemanos

                                      1 Reply Last reply Reply Quote 0
                                      • belleraB
                                        bellera
                                        last edited by

                                        consulto la ip externa y la encuentro registrada. me dice que puede ser por virus y un proxy abierto

                                        Lo primero que tienes que asegurar es que tu conexión a Internet no pase por un proxy… Todo parece indicar que es así.

                                        En España Telefónica ofrece el servicio de filtrado (a través de proxy) Canguro Net. Cuando lo empleas es frecuente ver avisos de Google, por ejemplo, diciendo que parece que recibe ataques desde la IP de proxy (que no es la tuya pero como si lo fuera, en este caso). Por suerte, en Google te ponen un código gráfico de verificación para asegurar que eres un humano y no una máquina...

                                        Verifica pues antes cómo funciona exactamente tu proveedor de Internet.

                                        Saludos,

                                        Josep Pujadas

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          gerar2
                                          last edited by

                                          Sñr bellera disculpe la preguntadera, como hago para saber si tengo proxy abierto y como lo cierro

                                          1 Reply Last reply Reply Quote 0
                                          • belleraB
                                            bellera
                                            last edited by

                                            Lo primero que tienes que asegurar es que tu conexión a Internet no pase por un proxy… Todo parece indicar que es así.

                                            Google cómo saber si paso por un proxy

                                            http://www.internautas.org/w-testproxy.php

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.