Ayuda con creacion de Reglas.



  • Hola!

    Bueno soy muy noob  :D en esto de firewall y tales, siempre manejaba era routers normalitos, no pasaba a algo mas  avanzado como esto, resulta que en la empresa quitamos el Routers que teníamos (NetGear) e instale PFSense, nunca mas se nos ha caído el Internet y ni hemos tenido algún tipo de problema, solo que estoy un muy verde en el, y quisiera que me resolvieran unas dudas para así afinarlo mas.

    Bueno la red consta de 10 equipos, tengo 2 interfaces, Wan y Lan, configure bien los accesos y todo al FTP, escritorios remotos y demás servicios (proxy etc), y en la parte de reglas Lan tengo todo configurado así:

    Bueno así me funciona todo bien, pero mi duda viene al crear reglas para impedir algún servicio a unos computadores específicos, no a todos los de la red Lan, como hago para por ejemplo, crear una regla que me bloquee el uso del Messenger a solo 3 equipos de la red, y que los otros si lo tengan?, o me toca crear una regla por cada equipo?, o por ejemplo permitir que XX equipos solo tengan el servicio Pop3 y nada mas?
    , vamos recuerden que soy principiante :) y quiero pulirme en esta magnifica utilidad.

    Salu2 y Muchas Gracias de antemano!

    pd: Muy buen foro eh!  ;)



  • ¡Hola!

    Con las reglas que tienes y para hacer lo que deseas, pienso que lo mejor es que crees un alias para ir metiendo las IP que quieres bloquear.

    Y después poner una regla de bloqueo con ese alias en source y el servicio (port) a bloquear en destino.

    El problema es que a veces hay servicios indeseables que operan con el port 80 (navegación web). Entonces no te queda más remedio que bloquear rangos de IP de destino (si se conocen) o si tienes un Active Directory (evidentemente esto sólo es válido para estaciones Windows) establecer políticas que impidan la ejecución de ciertos programas.

    Si no tienes muchas estaciones también corren por ahí programas de seguridad pensados para establecer políticas de seguridad en las estaciones de trabajo.

    Saludos,

    Josep Pujadas



  • Hola!

    Muchas gracias Sr, Jose, bueno cree un alias llamado No_Admin y le metí varias direcciones IP, luego cree una regla para bloquear por ejemplo el puerto 80 y otra para el pop3, pero estos computadores que metí en el alias siguen con esos servicios, no se porque no me funciona la regla que cree para estos, que estaré haciendo mal?

    Salu2!



  • ¡Hola!

    La respuesta es …

    Tienes que mover la regla que has creado a arriba del todo. Las reglas se ejecutan según el orden en que figuran en la tabla.

    Para ello tienes que marcar la casilla de la regla que quieres mover y, seguidamente, el botón con el "triangulito" que tiene la regla que quieres que quede justo detrás de la que mueves. En tu caso, es el botón con el "triangulito" de la primera.

    Saludos,

    Josep Pujadas



  • Hola!

    Listo me sirvió de una sr. Jose!, muchas gracias. :)

    Salu2!



  • buenas tardes:
    mi dua es en la creacion e reglas quiero cerrar el puerto 35015 que es por donde funciona el ares
    hice el alias y meti el pueto por medio del cual sale el ares debo crear una sola regla o una en la wan y otra en la lan??? por el mismo puerto la coloque de primero en la lan con bloqueo al igual que el amigo solo bloqueo los programas que mas consumen ancho de banda y quiero aprender a permitirlos por horarios espero la ayuda con la creacion de esta regla aligual abrir una serie de puertos dinamicos 2100 al 2199 como se coloca esa regla? no tengo avanzados conocimientos en la materia espero la ayuda señor bellera de como se hace o los pasos a seguir por favor adecuadamente.



  • ¡Hola!

    Para bloquear algo a tus ordenadores clientes basta con poner una regla de bloqueo en tu LAN. No se necesita ninguna regla para WAN.

    Y para permitir, lo mismo.

    La reglas en WAN son (normalmente) para permtir entrar desde fuera, cosa que sólo tiene sentido cuando tenemos un servicio en Internet. Por ejemplo, un servidor web.

    Los puertos que dices no son, por normativa, dinámicos:

    http://www.iana.org/assignments/port-numbers

    *** De 0 a 1023, los MUY conocidos (los supuestamente FIABLES).
    *** De 1024 a 49151 los REGISTRADOS.
    *** De 49152 a 65535 los DINÁMICOS.

    Si quieres permitir de 2100 a 2199 bastará con una regla en LAN que lo haga:

    http://www.bellera.cat/josep/pfsense/regles_cs.html#LAN

    Saludos,

    Josep Pujadas



  • entonces deberia bloquear los puertos dinamicos para cerrar el ares lite??? es el programa que quiero restringir ya que me satura toda la red y consumo mucho ancho de banda el otro seria limewire que dices usted señor bellera gracias como siempre por la atencion prestada.



  • ¡Hola!

    Todo está denegado a no ser que tengas una regla de salida en LAN que autorice todo … O sea que más que bloquear se trataría de ir autorizando:

    http://www.bellera.cat/josep/pfsense/cabal_cs.html#altra

    No sé qué puertos emplea exactamente Ares, pero los programas p2p emplean generalmente puertos dinámicos como destino. Por tanto si quieres cortar de raíz p2p mejor no admitir los puertos dinámicos como destino.

    Saludos,

    Josep Pujadas



  • En mi caso solamente permití la salida a internet desde la LAN a la IP del servidor Proxy de esta forma obligo a todos los usuarios a "pasar" por el proxy para ir a internet. El proxy lo tengo instalado en otra pc, y le aplico reglas de filtrado del estilo "lista blanca", esto es, porque se me hacía muy engorroso tener que estar bloqueando todas las IP o dominios a los que quería que NO se acceda. Entonces solamente permito el tráfico a las IP o dominios presentes en la "lista blanca" y deniego el resto. En el caso de que se necesite navegar por otro dominio o IP, lo agrego a la "lista blanca" y listo.
    Este método inclusive evita que la gente quite la opción de navegar por el proxy porque si la quita nunca podrán acceder a internet, haciendo más sencilla la tarea del administrador ya que no hay que restringir la configuración de los navegadores web o de los programas P2P.
    También tengo configurado un túnel VPN a través de internet con otro PfSense en otro sitio y las reglas de bloqueo no se meten para nada con el funcionamiento del túnel VPN, es decir, que anda perfectamente.

    Saludos


Log in to reply