Como evitar saltarse el portal cautivo



  • Buenas noches amigos del foro, tengo mas de una semana que instale PfSense y hasta el momento todo bien con lo poco que he hecho (portal cautivo, squid, (solo lo básico)). Ahora me surgió un problema que no he encontrado una solucion en la web. Ley en una pagina "tunel DNS para saltarnos un portal cautivo", realice el tutorial que presentaban y puffff salto mi portal cautivo.
    La pregunta es: Se puede proteger el portal cautivo de estos ataques ?

    Tengo dos tarjetas de red: Wan y Lan
    La versión es 2.0.3

    Mis conocimientos en el tema en muy bajo, pero estoy interesado en aprender

    Gracias.-



  • Una pregunta como tienes las reglas  del firewall de tu cp?



  • Epale periko gracias por tu atención, te comento que no he modificado ni añadido ninguna regla, es que no estoy muy claro con eso. Te envió las imágenes. Que me siguieres ? ademas de leer muuuchoo. Ya estoy en esto ;D

    Saludos.-






  • Mira, ahorita no tengo chance de probar pero como veo que tu ya lo calastes, me gustaria que hicieras unos cambios.

    Ya que tienes la regla por default y esa permite muchas cosas, ahi te yo haria esto:
    a) activo el dnsforward.
    b) dejo solo 3 reglas:
    1; query de tu lan protocolo udp hacia tu lan adress(o sea la ip del pfsense) solamente, la regla actual le permite a cualquiera que este en tu lan consultar cualquier dns, aqui estamos forzando que solo
    puedan consultar el dns interno de pfsense nadie mas.
    2; query de tu lan  tcp hacia cualquiera puerto http(80)
    3; query de tu lan  tcp hacia cualquiera puerto https(443)
    4; elimino la regla que tienes por default la que permite todo.

    Si puedes intentas de nuevo despues que hagas tus cambios a ver que pasa? saludos.



  • @joselms02:

    Buenas noches amigos del foro, tengo mas de una semana que instale PfSense y hasta el momento todo bien con lo poco que he hecho (portal cautivo, squid, (solo lo básico)). Ahora me surgió un problema que no he encontrado una solucion en la web. Ley en una pagina "tunel DNS para saltarnos un portal cautivo", realice el tutorial que presentaban y puffff salto mi portal cautivo.
    La pregunta es: Se puede proteger el portal cautivo de estos ataques ?

    Tengo dos tarjetas de red: Wan y Lan
    La versión es 2.0.3

    Mis conocimientos en el tema en muy bajo, pero estoy interesado en aprender

    Gracias.-

    Sin squid no pasa nada :D, prueba una maquina que no tenga el squid y veras que no pasa :P, pero haz lo que dijo periko :D



  • ZAC recuerda que esta hablando sobre CP, es independiente a squid.
    Saludos.



  • Es que un tutorial que yo seguí, si no tenía activado el squid no funcionaba :D, por eso no lo uso, pero sería bueno que este amigo me pase el tuto, para probarlo en mi red, si no, yo también tendré que hacer lo que dice usted periko :(



  • Creo que es este: http://dabax.net/tunel_dns



  • Buenas noches, ya retomado sus sugerencias. Amigo Zac el comando que utilizan en el tutorial es: sudo nmap -sS Ip_del navegador_cuando_muestra_la_pagina_del_portal,  (utilizando Linux).
    Perico, tengo una duda con la primera regla, (en general con todas por falta de conocimiento para implementarlas). El caso es que el dhcp entrega ip a todas las maquinas que se conectan, osea que ya están dentro de la lan.

    No tengo claro como crear estas reglas, algun tutorial? ya he leido varios y no logro interpretar para implementar "query"

    Mientras tando voy a desintalar el squid a ver que pasa, ya les comento.

    Saludos.-



  • Si es el link que puse? si no ponlo de favor.

    Crear reglas:

    http://www.bellera.cat/josep/pfsense/indice.html

    Saludos.



  • Gracias perico, ya lo he revisado, voy a dar unas cuantas pruebas a ver si doy con las que tu me pasaste.
    Les envío imagen de lo indicado en el tutorial ya que no lo encuentro, distinto al que colocastes, es mas facil. solo deben entrar a la red y tomar la direccion ip que muestra el navegador, lo colocas al comando que les envie y les muestra el puerto que utiliza el squid, con esta información configuramos nuestro proxi y listo nos pasamos el portal.
    Preguntas:siempre la ip que muestra el navegador es la puerta de enlace ? se puede cambiar por otra para despistar?

    Zac, es cierto que eliminando el Squid se resuelve el problema pero creo que no es la idea. Ya lo probé.

    Seguire intentando con las reglas

    Saludos.-




  • Les envío imagen de las reglas como me funciono a ver periko si es como me indicaste.
    Pero me bloquea las https




  • Estas reglas…

    Recuerda de tu red interna hacia fuera, en tu caso es LAN en el mio es WIFI por que ahi es donde tengo el cp.

    A ver como te va, saludos.




  • Buenas tardes, gracias peryco, he podido bloquear el salto del portal cautivo con las reglas que me dejaste. Solo me queda otro detalle que se genero.
    Me esta bloqueando el acceso a un servidor externo y a la red de mi oficina por vpn. El PFsense lo tengo en mi casa.

    Sera que creo otro tema y coloco este como solucionado?

    Saludos.-



  • Excelente, algo que siempre aplico en los firewalls es solo permitir el trafico necesario, en mi caso siempre he usado los dns de mi ISP y el cliente dnsforward, y solo permito a mi red interna hacer uso de ellos, ningun otro.

    Claro que te debe estar bloqueando, si estas usando la misma nic para accesar otras redes, repito tienes que abrir los puertos que necesitas, ya hicistes pruebas, te recomiendo que las dejes como tenias cuando todo funcionaba, investigues que puertos/protocolos necesitas abrir, ya que los tengas, creas tu reglas, pruebas y cuando este todo listo cierres la regla que permite todo.

    Aprende a saber que puertos protocolos/requiere cada uno de los sistemas que usas, conocelos.

    Un paranoico siempre esta preparado…



  • Excelente post¡ siempre se aprende con PFsense. :P


Log in to reply