Problema
-
como seria mas o menos la regla, no se si es asi
TCP/UDP LAN net * OPT1 net * * lan-opt1
de no serlo porfavor indiqueme Sñr Bellera.referente a este tema
- Si administras la red y son estaciones Windows pensar en Active Directory y políticas de seguridad.
tengo active directory, pero lo tengo solo para aunteticacion de los usuarios en el dominio, pero comenzare a testiar las politicas de seguridad.
- Si administras la red y son estaciones Windows pensar en Active Directory y políticas de seguridad.
-
ping es ICMP. No es ni TCP ni UDP. O sea que si quieres autorizar todo de LAN a OPT1 la regla debe ser:
* LAN net * OPT1 net * * lan-opt1
Si tienes los usuarios autentificados con AD puedes establecer qué programas pueden ejecutar los usuarios, si son o no administradores de sus máquinas, etc.
-
Sñr Bellera es un crack :D
la solucion que me diste quedo muy bien
comenzare a buscar opciones de seguridad para ad
muchas gracias hermanosi no es mucha molestia tengo otra duda
pero no es referente al pfsense
resulta que estoy montando un servidor de voz ip tengo y tengo que darle ese servicio a otra oficina
resulta que de aqui sale la señal en un ap trango
servidor voz ip===>router cisco 3800===>ap trango===>aptrango===>routerciscoserie900===lan interna
interno interno interno extreno externo externo -
¡Hola de nuevo!
Sobre la VoIP creo que todo se trata de abrir los puertos (NAT) que sean necesarios. Tengo un PAP2 funcionando (http://en.wikipedia.org/wiki/Linksys_PAP2) y se redujo a eso. De hecho como sólo lo empleamos para llamadas salientes no era ni necesario abrir los puertos.
Como siempre, documentarse con los manuales de los equipos y participar en foros especializados.
¡Suerte!
Josep Pujadas
-
hola de nuevo Sñr. Bellera
lo que me preocupa es que el el servidor de voz ip esta una subred 10.0.0.0, para llegar a la oficina viaja por una red 192.168.100.0y luego en la oficina ahi una red interna que debe ser 192.168.1.0
como te dije anteriormente el problema es que no se si el servicio puede funcionar haciendo esos saltos de subred, y que es loq ue tendria que aplicar por lo menos para tener una idea -
hola señor Bellera, espero que este bien y disculpe la molestia de tanto proguntar.
resulta que contrate un servicio de mensajeria de correo en la empresa, al enviar correo desde mozilla thunderbird me sale un error y me dice que la ip la tengo en la lista spammer cbl, consulto la ip externa y la encuentro registrada. me dice que puede ser por virus y un proxy abierto
quiera preguntar si puedo hacer una regla en wan que solo deje pasar los puertos que yo quiera para no tenerlo tan vulnerable, o en ese caso que solucion puedes proponerme ya que he sacado la ip de la lista en 3 ocaciones.
muchas gracias de antemanos -
consulto la ip externa y la encuentro registrada. me dice que puede ser por virus y un proxy abierto
Lo primero que tienes que asegurar es que tu conexión a Internet no pase por un proxy… Todo parece indicar que es así.
En España Telefónica ofrece el servicio de filtrado (a través de proxy) Canguro Net. Cuando lo empleas es frecuente ver avisos de Google, por ejemplo, diciendo que parece que recibe ataques desde la IP de proxy (que no es la tuya pero como si lo fuera, en este caso). Por suerte, en Google te ponen un código gráfico de verificación para asegurar que eres un humano y no una máquina...
Verifica pues antes cómo funciona exactamente tu proveedor de Internet.
Saludos,
Josep Pujadas
-
Sñr bellera disculpe la preguntadera, como hago para saber si tengo proxy abierto y como lo cierro
-
Lo primero que tienes que asegurar es que tu conexión a Internet no pase por un proxy… Todo parece indicar que es así.
Google cómo saber si paso por un proxy
http://www.internautas.org/w-testproxy.php
-
ingrese a ese portal y me dio lo siguiente
TEST PROXYTu conexión está pasando a través de un PROXY
IP DEL PROXY: xxx.xxx.xxx.xxx
TU IP: 10.0.0.10
porsupuesto donde estan las X estaba mi direccion wanque hacer entonces??
-
Tu conexión está pasando a través de un PROXY
IP DEL PROXY: xxx.xxx.xxx.xxx
TU IP: 10.0.0.10
porsupuesto donde estan las X estaba mi direccion wan~~¿Seguro? Creo que no, que tu dirección WAN es 10.0.0.10, no xxx.xxx.xxx.xxx.
xxx.xxx.xxx.xxx tiene que ser un proxy transparente de tu proveedor de Internet.
Prueba a hacer ping, por ejemplo, y verás como la IP de tu router te contesta con tiempos del orden de 1 ms. Otra forma de ver qué IP pública tiene tu router ADSL es entrando en su administración. Consulta foros sobre ADSL.~~
En casa me da lo siguiente:
Tu conexión está pasando a través de un PROXY
IP DEL PROXY: 80.58.205.52
TU IP: AAA.BBB.CCC.DDDsiendo AAA.BBB.CCC.DDD la WAN de mi router ADSL. Y 80.58.205.52 el proxy transparente de Telefónica por el que paso siempre, al tener contratado el servicio de filtrado Canguro Net Plus.
resulta que contrate un servicio de mensajeria de correo en la empresa, al enviar correo desde mozilla thunderbird me sale un error y me dice que la ip la tengo en la lista spammer cbl, consulto la ip externa y la encuentro registrada. me dice que puede ser por virus y un proxy abierto
~~Pues como te decía el problema viene de que muchas personas emplean la misma IP cara al servicio que contrataste. Y ese servicio lo ve como un ataque, a semejanza de lo que te conté con Google.
Tienes que hablar con el proveedor del servicio de mensajería porque está siendo incompatible con el proxy transparente de tu proveedor de Internet.
No tiene nada que ver con tu instalación. Si pinchas la máquina con ThunderBird directamente a tu router ADSL deberías obtener el mismo error.~~
-
Hum…
Perdona, no me había dado cuenta que 10.0.0.10 es una IP privada en tu LAN.
¿Instalaste squid en tu pfSense? Si es así ve a la administración de este servicio, páralo y prueba tu servicio de mensajería.
Si no tienes a squid entonces puede que el problema esté relacionado con el NAT saliente. En ese caso querría decir que el sistema de mensajería detecta varias conexiones desde una misma IP (tu WAN), situación normal si tienes varios usuarios simultáneos.
Algunas aplicaciones no soportan más de una sesión desde una misma IP pública. Caso de ser este el problema contacta con el proveedor del servició, a ver qué solución de te dan.
-
Hola Sñr. Bellera, tranquilo no se preocupe
efectivamente tengo instalado squid, estuve leyendo y en la web de http://cbl.abuseat.org/
aparece algo relacionado con los proxys abiertos nombras a varios entre ellos el squidbueno, pero que es lo que mas o menos tendria que hacer. para solucionar la broma con squid
-
páralo y prueba tu servicio de mensajería
Considera no emplearlo o bien ponerlo en modo NO transparente. De esta manera podrías emplear un proxy.pac (o configurar a squid -no sé si el configurador web lo permite-) para que se vaya directo (sin pasar por el proxy) a este servicio de mensajería.
http://en.wikipedia.org/wiki/Proxy_auto-config
-
es una opcion viable pero vi unas acl para configurar squid, pero como estoy un nivel novice en el shell
es dificil implementarlas de todas formas ire provando poco a poco.el problema de implementar el proxy no transparente es que en la red ahi mas de 250 equipos
ya que tengo lan y opt 1 imagina que tengo que ir a cada equipo a configurar el proxy del explorador de todas formas ire probando -
No configures cosas por la shell porque cuando cambies por la web te machacará todo lo que hayas hecho.
Puedes poner reglas de bloqueo para la navegación directa y hacer un comunicado a los usuarios para que se configuren el proxy obligatorio…
-
Hola Sñr. Bellera, para bloquear ip por el firewall como hago??
-
Por favor,
1. Abre un nuevo hilo si el tema es distinto.
2. No entiendo la pregunta. Tendrías que explicar mejor cuál es el problema.
-
oks señor bellera, lo hago en otro post
-
**Nota del moderador
Pasa a http://forum.pfsense.org/index.php/topic,23964.0.html
No mezclar temas en un mismo hilo, por favor.**
~~Mira esta es mi Config
a.- 1 PC con 2 Tarjetas, una Tarjeta wan hacia el modem adsl(modo bridge), configurada en pfsense como ppoe.
b.- Modem tiene el ip 192.168.1.x, sin dhcp, ya este lo hace pfsense.
c.- La segunda tarjeta del PC es LAn, ip 192.168.10.y
d.- esta segunda se conecta al AP, con ip 192.168.10.y(para administracion del AP))Como te das cuentas Tarjeta LAN y AP estan en la mismo red, 192.168.10.0.
Esto es lo que pasa, cuando me conecto al AP, con TArjeta PCMCIA y/o un USB Wireless(desde un Notebook), tengo que escrbir el ip del modem. 192.168.1.1(como url), para que caiga a la pagina del portal cautivo, 192.168.10.5
Sino lo algo de esta manera, la pagina de inicio que es google.cl, queda como tratando de resolverserse "Lookingup www.google.cl", luego de un rato se cae dice que no puede encontrar el servidor.
Cuando escribo el ip del modem, 192.168.1.1, cae a la pagina del portal me pide que se autentifique el usuario, es decir el portal que atrapa usuarios funciona bien.Bueno Ojala alguien me pueda ayudar,
Desde ya Muchas Gracias!~~
