Reglas de firewall no funcionan al activar el proxy transparente


  • Hola tengo pfsense 1.2.3 instalado. El tema es que estuve creando unas reglas en el proxy transparente (squid/squidguard) que implementé, al aplicarlas funcionó todo de manera correcta. Pero unos cuantos bloqueos que tenía en las reglas de firewall dejaron de funcionar :S

    Noté que al destildar la opción de "transparent proxy" todas las reglas del firewall vuelven a funcionar de manera correcta, hay algún parametro que no configuré o algo que pasé por alto?

    gracias!!!


  • nadie tiene idea? =( =( =(

    disculpen el doble post, pero necesito solucionarlo. No quiero pasarme a otra plataforma =(


  • ¿Todas las reglas? Raro. ¿Puedes postear tus reglas? ¿Puedes postear tus NATs, si tienes?

    Si hay información relevante en las imágenes procura emmascararla.


  • perdón por la demora estuve complicado con el tiempo, acá te dejo las reglas

    rlz

    nat

    saludos =D


  • La dos reglas que tienes por detrás de la que autoriza todo no sirven de nada.

    Pero este no es el problema…

    Básicamente la cuestión es que si pones un proxy transparente estás haciendo un redireccionamiento incondicional para la navegación por TCP 80 hacia el proxy.

    Es decir, todas las máquinas podrán navegar, pasando por el proxy.

    Lo correcto es configurar el proxy (no transparente) en los navegadores de las máquinas que tengan que salir, permitir el acceso a TCP 3128 de pfSense sólo para estas máquinas y bloquear TCP 80, 443 directos para todos.

    Decirte también que me parece peligroso prohibir algunas máquinas y dejar al resto todo. Piensa que sin reglas está todo denegado, por lo que siempre es mejor hacer autorizaciones. De esta manera, todo lo no previsto no se puede hacer. Pero bueno, no conozco el entorno que montas…


  • Gracias por tus consejos, en realidad estoy "testeando" pfsense en una granja de prueba, en estos días voy a poner en práctica lo que me dijiste.
    Pero el problema en realidad es que necesito bloquear MSN, intenté agregando una serie de restricciones en el proxy (que leí por ahí googleando un poco). Pero como verás en la screen que subí, bloqueé el puerto 1863 en las reglas del firewall que según tengo entendido es el que utiliza el cliente de msn para conectarse, y no lo está bloqueando. ¿Que estaré haciendo mal?

    Gracias por tus respuestas =)


  • sin reglas está todo denegado, por lo que siempre es mejor hacer autorizaciones. De esta manera, todo lo no previsto no se puede hacer.

    bloqueé el puerto 1863 en las reglas del firewall que según tengo entendido es el que utiliza el cliente de msn para conectarse, y no lo está bloqueando.

    Es más complicado que eso. El servicio usa 443 si no puede ir por 1863.

    Para saber cómo funciona basta teclear en Google: messenger ports firewall

    La mayoría de programas, servicios, juegos… tienen un apartado de soporte dedicado a explicar cómo autorizar su uso tras firewall. Ahí podrás encontrar los puertos que utilizan...

    Otra forma de cortarlo es denegar el acceso a todo lo que sea Microsoft:

    Rangos de IPs por compañía
    http://forum.pfsense.org/index.php/topic,36344


  • @mansa4u:

    Hola tengo pfsense 1.2.3 instalado. El tema es que estuve creando unas reglas en el proxy transparente (squid/squidguard) que implementé, al aplicarlas funcionó todo de manera correcta. Pero unos cuantos bloqueos que tenía en las reglas de firewall dejaron de funcionar :S

    Noté que al destildar la opción de "transparent proxy" todas las reglas del firewall vuelven a funcionar de manera correcta, hay algún parametro que no configuré o algo que pasé por alto?

    gracias!!!

    mira una vez me dijeron que una forma de bloquearlo era haciendo un nat forward con el puerto del msn alguna maquina de tu red emjemplo un servidor de correo. asi el msn asume que el servidor tiene problemas y no intenta conectarse por otros puertos. la verdad no lo probado pero podrias intentarlo.