Problemas de Filtrados con Reglas



  • Que tal primero.
    Quieriara saber si pueden ayudarme he instalado 2 servidor con pfsense y ya creia tenerlo medio domido pero la ultima ves que estale este servicio funciono perfectamente.

    El servidor donde tengo ese problema estaba trabajando muy bien el detalles es que se agregaron algunas Portatiles a la red y se tenia que dar de alta la Mac para que asigana las ip de estas y las reglas de salida del internet pero por alguna razon ahora el servidor permite salida sin restrigciones  a todos los equipos de la red y no se que fuen lo que paso ya revise todas las alias, reglas y conseciones que pude mover y no logro hallar el problema me gustaria si pudiera ayudarme un poco se los agradeceria.

    el equipo tien configuradas las mac para que asigne una ip a cada una por departamente
    ahi 6 departamentos con sus alias respecticas.
    asi como las alias con la paginas web a las que tienen aceeso
    me gustaria saber que informacion nesesitan para poder poenr ya sea pantallas o datos sobre el problema en si
    se antemano muchas gracias
    :D



  • hola…

    podrias imprimir las pantallas de tus alias y reglas para verlas aca en una imagen y evaluar que pueda estar pasando??



  • Aqui Estas las pantallas


    ![Alias 1.JPG](/public/imported_attachments/1/Alias 1.JPG)
    ![Alias 1.JPG_thumb](/public/imported_attachments/1/Alias 1.JPG_thumb)
    ![Alias 2.JPG](/public/imported_attachments/1/Alias 2.JPG)
    ![Alias 2.JPG_thumb](/public/imported_attachments/1/Alias 2.JPG_thumb)



  • ya esta es que no habia podido montar los archivos



  • ¡Hola!

    ¿No tendrás pfSense puesto en modo bridge?

    ¿El lado WAN de tu pfSense ya tiene una subred distinta a la del lado LAN?

    Saludos,

    Josep Pujadas



  • @bellera:

    ¡Hola!

    ¿No tendrás pfSense puesto en modo bridge?

    ¿El lado WAN de tu pfSense ya tiene una subred distinta a la del lado LAN?

    Saludos,

    Josep Pujadas

    Ahi si no se la verdad, segun entiendo no deberia ser asi, lo unico que esta en modo Bridge es el Modem en lugar de ser una Sub Red la Wan se conecta directamente con el Modem y a esta se le asgina la ip ( solo que eso tenga algo que ver no lo habia pensado).



  • ya se cual es el problema el Squid estaba en mode Transparente eso hacia que todos navegara en todos lado una pregunta el squid solo se aplica al puerto 80 o para todo el acceso al internet



  • ¡Hola!

    Si estás en modo transparente sólo actuará con http:

    Interception Caching only supports the HTTP protocol, not gopher, SSL or FTP. You cannot setup a redirection-rule to the proxy server for other protocols other than HTTP since it will not know how to deal with it

    http://wiki.squid-cache.org/SquidFaq/InterceptionProxy

    Pero piensa que se pueden usar otros puertos alternativos para http que no son el 80 …

    Mira en la configuración del paquete si hay manera de acotar esto o, en todo caso, pon reglas en WAN que denieguen el tráfico hacia los puertos que no desees. Si no puedes impedir la entrada de las peticiones a pfSense, haz que no salgan.

    Saludos,

    Josep Pujadas



  • Agradezco mucho la ayuda deja revisar como puedo hacer para implementar el Squid sin que me afecte muchas gracais aaa otra cosa abusando un poco de la ayuda como puedes hacer para que squid solo de acceso a las paguina de la Whitelist
    y no  a las demas solo que los usuarios pueda ver las que estan en la whitelist el proxzy esta activo y trasparente para la lan



  • El control a detalle que quieres implantar en tu red, en mi humilde opinión, excede lo que pfSense (+Squid) pueden ofrecer hoy sin complicar las reglas. ¿Has evaluado instalar un proxy server separado?, creo que sería más sencillo.

    Saludos.

    Miguel Ángel Araujo
    México



  • ¡Hola!

    como puedes hacer para que squid solo de acceso a las paguina de la Whitelist

    Mira si se puede jugar con wildcards … No tengo la interfase web para squid a mano ...

    La interfase web tiene sus limitaciones. Si tienes conocimientos de UNIX/Linux a través de la shell que tiene pfSense puedes llegar a modificar "a mano" la configuración de squid para que haga esto.

    Pero como te dijo maaraujo si quieres afinar mucho más vale pensar en un squid a parte de pfSense.

    Saludos,

    Josep Pujadas



  • @maaraujo:

    El control a detalle que quieres implantar en tu red, en mi humilde opinión, excede lo que pfSense (+Squid) pueden ofrecer hoy sin complicar las reglas. ¿Has evaluado instalar un proxy server separado?, creo que sería más sencillo.

    Hola…
    maaraujo tienes un proxy server separado? cual ?
    gracias...



  • @maaraujo:

    El control a detalle que quieres implantar en tu red, en mi humilde opinión, excede lo que pfSense (+Squid) pueden ofrecer hoy sin complicar las reglas. ¿Has evaluado instalar un proxy server separado?, creo que sería más sencillo.

    Si Habia pensado en eso el detalle que ahorita no tengo los medio :P por eso quiero hacer esa restriccion de hecho las reglas que estan en la imagenes se simplificaron mucho ya que cambio la forma de restringir lo accesos el detalle que tengo ahorita que si puedo modificar el archivo Squid.conf pero por alguna razon no me respeta los cambios el pfsense al hacer el reinicio de los servicios y lo raro es que me deja el archivo como estaba :P



  • ¡Hola!

    por alguna razon no me respeta los cambios el pfsense al hacer el reinicio de los servicios y lo raro es que me deja el archivo como estaba

    Esto es normal. Cualquier cosa que hagas con el configurador web del paquete squid te creará de nuevo squid.conf. También tendrías que reiniciar el servicio desde la consola o modificar el código PHP para que no modifique más squid.conf.

    Saludos,

    Josep Pujadas



  • ;D ya puede hacer lo que ocupaba con las opciones de la WebGui de Pfsense pero sin embargo si me interesa mejor instalar el proxy en otra maquina para hacie poder pulir mas el acceso y restricciones que he leido por ahi una pregunta que me recomiendan mas para montar el Proxy FreeBSD, Ubuntu, Fedora ??? y que proxy seria el mas adecuado.

    De cualquier forma muchas Gracias por toda la ayuda espero poder ayudar a alguien des pues :D



  • ¡Hola!

    que me recomiendan mas para montar el Proxy

    FreeBSD + squid + redirector (squidGuard o DansGuardian) + análisis (sarg)

    Saludos,

    Josep Pujadas



  • 100% de acuerdo.


Locked