Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Reglas de firewall

    Scheduled Pinned Locked Moved Español
    9 Posts 3 Posters 15.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Exewin
      last edited by

      Tengo una duda necesito hacer reglas para diversos tipos de usuario en la misma LAN.

      1. Necesito una regla que permita todo acceso a un cierto rango de IPS ya definidos en un alias por decir A
      2. Necesito una regla general que bloquee el acceso a p2p o el uso de aceleradores asi que no se donde colocar estas reglas en WAN o LAN
        para permitir el tráfico por los puertos TCP/UDP 110 y 25 para correo
        El puerto 80, 21,57, 443, 119 para los servicios http ftp etc.
        otra del puerto 8000 - 8100 (esto lo saque de una guia) para el trafico del streaming

      esto para un grupo b de usuarios
      3. luego otra para prohibir a otro grupo de usuarios C todo acceso a servicios excepto a pop3 y smtp

      aparte de las reglas quiero habilitar el squid para poder filtrar paginas basadas en listas actualizables con el squidguard

      es posible tener funcionando ambos el firewall y el proxy squid sin que interfieran uno con el otro?

      Saludos a todos en este nuevo año que traiga dicha y properidad a sus hogares.

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        De entrada, las reglas siempre en las LAN. En las WAN sólo van reglas si tienes servicios publicados en Internet. Por ejemplo un servidor web que tengas en una LAN y quieras que sea visto desde Internet. Hay otros casos en que conviene poner reglas ens las WAN pero son raros.

        1. Necesito una regla que permita todo acceso a un cierto rango de IPS ya definidos en un alias por decir A

        Suponiendo que te refieras a un alias de IPs internas (origen del tráfico). En Firewall - Rules - LAN:

        • UsuariosTodo * * * * none

        siendo UsuariosTodo el alias con las IPs de tu LAN que tengan acceso a todo.

        2. Necesito una regla general que bloquee el acceso a p2p o el uso de aceleradores asi que no se donde colocar estas reglas en WAN o LAN
          para permitir el tráfico por los puertos TCP/UDP 110 y 25 para correo
          El puerto 80, 21,57, 443, 119 para los servicios http ftp etc.
          otra del puerto 8000 - 8100 (esto lo saque de una guia) para el trafico del streaming

        Pues en Firewall - Rules - LAN:

        TCP/UDP UsuariosAcotados * * PuertosPermitidos * none

        siendo UsuariosAcotados un alias con las IP de tu LAN a acotar y PuertosPermitidos un alias con los puertos que necesitas de salida.

        3. luego otra para prohibir a otro grupo de usuarios C todo acceso a servicios excepto a pop3 y smtp

        De nuevo, en Firewall - Rules - LAN:

        TCP UsuariosCorreo * * PuertosCorreo * none

        siendo UsuariosCorreo un alias con las IP de tu LAN con sólo correo y PuertosCorreo un alias con los puertos que necesitas de salida (SMTP es TCP 25, POP3 es TCP 110 o 995…)

        Nunguna regla más, con lo que el resto de cosas estarán prohibidas.

        aparte de las reglas quiero habilitar el squid para poder filtrar paginas basadas en listas actualizables con el squidguard

        es posible tener funcionando ambos el firewall y el proxy squid sin que interfieran uno con el otro?

        Sí es posible. Pero piensa que si pones el proxy en modo transparente implica que redireccionas automáticamente todas las peticiones hacia TCP 80 que llegan a tu LAN. Por tanto, en caso de tener proxy transparente será en las reglas de squid+squidGuard dónde deberás filtrar la navegación, tanto para IP de origen como para web de destino.

        Como colofón piensa en si tus usuarios pueden y/o son capces de alterar sus IPs. Porque si pueden hacerlo la estructura que pides no tiene seguridad suficiente.

        1 Reply Last reply Reply Quote 0
        • E
          Exewin
          last edited by

          Muchas Gracias y felecitaciones estimado Bellera, he ido siguiendo tus post que aportas para encontrar soluciones a nuestros diferentes problemas.

          Bueno necesito el squid por la cuestion de prohibir el acceso a sitios con contenido no adecuado no creo que se pueda con el firewall.

          y amigo tambien pedirte un favor tambien necesito puertos abiertos para el skype y para el msn, el skype parece que escala un rango de puertos  y creo que la salida del msn se hace por el puerto 80.

          para las ips al carecer ipfsense la función de ip-mac binding estoy utilizando dhcp con leases estaticos, defininedo rangos y voy a poner una regla denegando todo para las ips no asignadas, tambien hice el check en las casillas de verificacion que no permiten dar un lease a un dirección desconocida.

          Acepto sugerencias amigo

          Una vez mas muchas gracias

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            ¡De nada!

            Skype
            Google puertos skype site:forum.pfsense.org
            http://forum.pfsense.org/index.php/topic,30499.msg157824.html#msg157824

            Messenger
            Google puertos messenger site:forum.pfsense.org
            http://forum.pfsense.org/index.php/topic,7848.msg44112.html#msg44112

            A parte de esto piensa que pfSense 2.0 puede filtrar capa 7 (layer 7). Es decir, se pueden definir reglas por patrones de aplicaciones.

            Google "layer 7" pfsense
            http://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7
            http://forum.pfsense.org/index.php/topic,37545.0.html
            http://www.javcasta.com/2011/10/03/seguridad-pfsense-reglas-de-filtrado-de-capa-de-aplicacion-deep-packet-inspection/

            No puedo decirte más sobre esto porque todavía no lo probé.

            Saludos,

            Josep Pujadas

            1 Reply Last reply Reply Quote 0
            • E
              Exewin
              last edited by

              Josep, ya tengo funcionando el server pfsense, aun no coloco el filtro black list ni ninguna configuración sobre el squid

              Las reglas funcionan de maravilla, pero tengo un problema, tengo una antena omni y todos mis clientes cercanos o directos se pueden conectar sin mayor problema este es un bullet y esta configurado como bridge.

              Tengo accesos lejanos, y para esto utilizo un locom2 para complementar el bridge y de ahi baja la conexion por cable a esos clientes, funciona el dhcp y el asigna un ip a los clientes pero no tienen acceso a ningun servicio mas y estan dentro del mismo alias de los clientes que funcionan.

              Saludos.

              1 Reply Last reply Reply Quote 0
              • pttP
                ptt Rebel Alliance
                last edited by

                tengo una antena omni y todos mis clientes cercanos o directos se pueden conectar sin mayor problema

                este es un bullet y esta configurado como bridge.

                Tengo accesos lejanos, y para esto utilizo un locom2 para complementar el bridge y de ahi baja la conexion por cable a esos clientes, funciona el dhcp y el asigna un ip a los clientes pero no tienen acceso a ningun servicio mas y estan dentro del mismo alias de los clientes que funcionan.

                El Bullet lo tienes como AP WDS? O solo como AP ?

                El Nano Loco, lo tienes en Bridge ?

                Un diagrama de como estan conectados los diferentes equipos, y las IPs que utilizan facilitaria ayudarte

                Saludos

                1 Reply Last reply Reply Quote 0
                • E
                  Exewin
                  last edited by

                  Este es el diagrama de red que estoy utilizando

                  http://imageshack.us/photo/my-images/855/diagramaderedactual.jpg/

                  El pfsense es el gateway /firewall en 192.168.1.1
                  las maquinas tienen ips en la misma subred

                  el bullet m2 esta en la misma subred configurado en modo AP (192.168.1.20) y esta configurado en modo bridge (no importaria la ip que le diera asi estuviera en otra subred 192.168.x.x igual haria el puente para que se conecten las portatiles y equipos inalambricos) bien aqui se conectan muy bien los equipos  directamente.

                  el loco m2 esta configurado como station (ninguno esta configurado en modo wds) y detras de este es que las computadoras no tienen acceso a internet (sale en windows 7 un error no se encuentra servidor DNS) pero si les resuelve dhcp o sea llegan al server pfsense y les asigna una ip (estoy usando Leases estaticas)

                  Ahora esta configuracion funcionaba normalmente con un router (en vez del server), por lo que me extraña no se puedan conectar ahora revise configuraciones pero no encuentro la solucion

                  Estoy usando Pfsense 2.0 RC3

                  y las reglas que me dio bellera.

                  las mismas computadoras funcionan antes del bridge (pero no asi despues)

                  1 Reply Last reply Reply Quote 0
                  • pttP
                    ptt Rebel Alliance
                    last edited by

                    Con equipos Ubiquiti, cuando los utilizas para un punto a punto, lo recomendado es configurarlos como AP-WDS <–--> Station-WDS (los 2 en modo Bridge), de este modo el link te queda transparente en capa 2  (pasan las MACs originales de cada host).

                    Tambien seria conveniente que actualices tu pfSense a la version 2.0.1 "Release" en lugar de estar utilizando una RC "antigua", ya que justamente en la 2.0.1 se ha actualizado el servidor DHCP

                    http://blog.pfsense.org/?p=633

                    » Updated ISC DHCP server to 4.2.3 (#1888) – this fixes a denial of service vulnerability in dhcpd.

                    Saludos.

                    1 Reply Last reply Reply Quote 0
                    • E
                      Exewin
                      last edited by

                      Ya gracias amigos esta parte ya funciono, coloque los AP en wds y ya estan transparentes.

                      Saludos

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.