Spoof



  • buenas foro, tengo el siguiente problema, tengo un proveedor que me da una ip fija, este proveedor asocia la ip fija con la MAC de la wan del dispositivo que hace de router, o sea que cada vez que se realiza un cambio de router hay que pasar la mac de la wan del dispositivo, el problema es que quiero reemplazar el el router por pfsense pero antes quiero probar si funciona, para esto puse el router en modo transparente y utilice la opcion de spoof en la seccion de wan para clonar la mac del primer router pero no me funcionno, desp saque el router transparente y conecte directamente a la wan del pfsense con la opcion de spoof de esta forma tenia internet pero no podia acceder  a mi servidor web, tengo creadas las reglas de nat y rules para que puedan acceder alguna sugerencia para que pueda acceder a mi server web, desde ya muchas gracias



  • Hola!

    Pon tu router en modo transparente ( Reenvio de todos los paquetes a la wan de tu pfSense ), pero en pfSense no modifiques la Mac. De este modo si que te funcionará.

    Seguro que tienes bien configuradas las reglas y el Nat.

    Mirate el tutorial de Josep Pujadas i Jubany en http://www.bellera.cat/josep/pfsense, te puede ayudar a configurar correctamente el Nat i las reglas. ( Supongo que tienes el servidor web interno ).

    Saludos



  • gracias por responder, pero lo solucione de otra forma, estaba bien lo que hacia de copiar la mac de mi router anterior y ponerla en "spoof" de la WAN de pfsense, lo que hice fue destildar la opcion "Disable NAT Reflection" del menu System: Advanced functions, luego de eso funciono, alguna explicacion que me aclare mejor eso, muchas gracias por sus aportes



  • ¡Hola!

    Mira en http://www.openbsd.org/faq/pf/rdr.html#reflect, concretamente al final, donde habla de "reflect".

    pfSense emplea PF (Packet Filter) de OpenBSD (presente como estándar en FreeBSD desde noviembre de 2004).

    Más concretamente, las reglas emplean PF (Packet Filter, http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-pf.html) como cortafuegos y el portal cautivo utiliza IPFW (IPFIREWAL, http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html) como cortafuegos.

    Saludos,

    Josep Pujadas



  • gracias por los links, los lei y entiendo que los clientes locales no pueden ubicar al server web debido a que pf solo esta escuchando sobre la interfaz wan para peticiones hacia al server web por lo tanto no podia redireccionar esos paquetes, pero no entiendo porq los clientes desde internet no podian acceder a este servidor por la interfaz wan si estaban las reglas para el reenvio de esos paquetes, luego de deshabilitar "Disable NAT Reflection".
    Lei acerca de las 2 soluciones que da, "DNS de horizonte dividido" y la de mover el server dns local a una red diferente, actualmente estoy teniendo problemas con la resolucion de dns, en mi pfsense en la opcion de dns tengo a mi dns local para resoluciones locales, un windows 2000 server, y el otro dns el de mi ISP para resoluciones de internet y tengo habilitado "Enable DNS forwarder" en los clientes configuro como gateway a pfsense y como dns primario a mi dns local creo que es la configuracion correcta, pero resulta que a menudo se pierde la conexion de internet, buscando el problema me encontre que llego mediante el comando ping a la interfaz local y wan de mi pfsense, al del modem router tambien y a los dns de mi isp. Tal vez este configurando mal algo de pfsense, o tenga que aplicar alguna de estas soluciones que da en http://www.openbsd.org/faq/pf/rdr.html#reflect, me seria de ayuda saber si esta mal algo de mi config, desde ya muchas gracias



  • ¡Hola de nuevo!

    Como yo lo tengo …

    *** Las máquinas toman como DNS a pfSense (DHCP se encarga de ello).

    *** pfSense toma como DNS el DNS local (fuera de pfSense) que tengo montado y un DNS del ISP, http://www.bellera.cat/josep/pfsense/config_base_cs.html#system_general_setup

    *** El DNS local (fuera de pfSense) toma como DNS los del ISP.

    *** Tanto en pfSense como en el DNS local tengo mis servidores definidos con los nombres con que se accede desde Internet y la IP local. En pfSense, http://www.bellera.cat/josep/pfsense/dns_cs.html.

    Si tu DNS local es un Win2000 Server puedes crear "a mano" una zona y su inversa para tu dominio y hacer lo mismo ... De esta forma tus servidores se resolverán localmente.

    Otra trampa que se puede hacer es poner los nombres y las IPs locales en el archivo hosts. No te recomiendo que lo hagas para todas las máquinas ya que esto sería arduo de mantener. Pero sí lo puedes hacer en tus servidores. El archivo hosts es lo primero que mira un máquina para hacer la resolución y después van las consultas a los DNS.

    El DNS de pfSense es muy rápido pero tiene una pila (lista) pequeña. Por tanto hay que apoyarse en otro DNS si hay muchos accesos, sea local o no. Si es local, mejor ...

    Si haces los ping con números de IP no interviene para nada la resolución DNS. Tienes que hacer ping con nombres de servidores. En Internet hay servidores que contestan a los ping y los hay que no. Puede servirte ping google.com.

    Otra prueba que puedes hacer desde las estaciones Windows es nslookup ip_del_servidor. Esto te dirá el nombre de la máquina y qué servidor DNS te ha devuelto la respuesta. En UNIX/Linux hay herramientas incluso más potentes …

    ¡Suerte!

    Josep Pujadas



  • Gracias por responder, paso a describir mi configuracion, en mi win 2000 server tengo definidas las zonas de mi dominio local tanto la directa como la inversa, como puerta de enlace tengo mi pfsense, como dns la misma dir del win 2000 server, no utilizo dhcp por q algunos de los usuarios, no autorizados a navegar, pueden cambiar sus configuraciones de red y usar este servicio. En mi pfsense tengo como dns primario a mi dns local y lo que hice ahora es agregar dns secundario de mi ISP, tambien tengo activada "Allow DNS server list to be overriden by DHCP/PPP on WAN" que tomaba los DNS que me da mi modem/router, no cambio el archivo host por que son de las pc's por que son 80 maquinas, bueno desp de este cambio voy a ver que sucede, saludos


Locked