Principiante: Reglas Firewall



  • Buenos días:
    Tengo funcionando la versión 2.2.4 de Pfsense. He balanceado dos adsl (WAN1 Y WAN2) que dan internet a la LAN. Siguiendo los consejos de este foro, especialmente a Bellera, he añadido una serie de reglas al Firewall para impedir descargas y tráfico no deseado. Además, he instalado squid y squidguard. Tengo muchas dudas,  pero entiendo que debo hacerlas poco a poco… ;). En este momento, ¿Podrían decirme si la configuración que he puesto en las rerglas es  correcta para impedir p2p y demás?.
    Muchas gracias por anticipado.

    ![pfsense pantalla.png](/public/imported_attachments/1/pfsense pantalla.png)
    ![pfsense pantalla.png_thumb](/public/imported_attachments/1/pfsense pantalla.png_thumb)
    ![screenshot-192 168 1 1 2015-11-23 13-49-09.png](/public/imported_attachments/1/screenshot-192 168 1 1 2015-11-23 13-49-09.png)
    ![screenshot-192 168 1 1 2015-11-23 13-49-09.png_thumb](/public/imported_attachments/1/screenshot-192 168 1 1 2015-11-23 13-49-09.png_thumb)



  • @Rafaelus:

    Buenos días:
    Tengo funcionando la versión 2.2.4 de Pfsense. He balanceado dos adsl (WAN1 Y WAN2) que dan internet a la LAN. Siguiendo los consejos de este foro, especialmente a Bellera, he añadido una serie de reglas al Firewall para impedir descargas y tráfico no deseado. Además, he instalado squid y squidguard. Tengo muchas dudas,  pero entiendo que debo hacerlas poco a poco… ;). En este momento, ¿Podrían decirme si la configuración que he puesto en las rerglas es  correcta para impedir p2p y demás?.
    Muchas gracias por anticipado.

    Buen dia amigo no soy experto con el pfSense pero en tus reglas con la primera que creaste, ya estas permitiendo todo el trafico, a cualquier destino, por la multiwan

    IPv4* * * * * MULTIWAN LAN–---MULTIWAN

    Las reglas que creaste después de esta ya no están siendo aplicadas, ya que todo lo tienes permitido aquí.

    debes llevar un orden en lo que necesitas, para bloquear y permitir.

    Saludos.



  • Muchas gracias por tu respuesta, por tanto, ¿debo colocar la regla de balanceo al final tras las otras?…¿Esto no afectará al balanceo?
    Un saludo.



  • Para mí la mejor opción en tu caso es utilizar el traffic shaper

    pero para ello tenés que usar la versión 2.1.x de pfsense :( (Hay muchos bugs en el traffic shaper de la 2.2.x que esperan solucionarse para la versión 2.3, pero anda muy bien en versiones anteriores)

    De esa forma podés utilizar bloqueos de capa 7 para distintos programas p2p, fácilmente configurables en firewall -> traffic shaping -> Layer 7

    No lo intenes en la 2.2.4, puede crashear tu pfsense.

    Asimismo en la 2.1.x podés mantener el load balancing y el fail over, pero sumándole este filtrado en layer7. Si deseás seguir ese consejo puedo ayudarte. Sino, contanos cómo lo vas a solucionar :)

    Saludos!



  • Gracias por tu ayuda, rocaembole.
    Entiendo, por tanto, que he de esperar a que mejoren el traffic shapper. Con todo, sigo sin comprender lo de las reglas del Firewall…¿No es posible , tener balanceo de puertos y reglas como las que he puesto sifguiendo las indicaciones de Bellera?
    ¿Si pongo la regla multiwan al final dejaría de funcionar?
    Muchas gracias y perdonen si mis preguntas son demasiado básicas.


  • Rebel Alliance



  • En principio ahí no estás bloqueando nada.

    En la primer regla permitís que todo pase por cualquier puerto a través de la multiwan, con la idea de aplicar Fail Over. En las últimas tres, está la idea de permitir sólo la navegación por los puertos que vos definís

    Entonces, tendrías que configurarlo del siguiente modo.

    Anular la primer regla

    modificar las tres últimas, seleccionando de gateway "MULTIWAN"

    Agregar una última regla al final, que bloquee todo. Es importante que recuerdes que las reglas se respetan según el orden que tengan (de arriba hacia abajo es la importancia de las reglas) por lo que la regla "For LAN: Block all" tendría que ir abajo de "sincro reloj", la primer regla debería ser la del alias "puertos web"

    Y tené en cuenta que si usan clientes de correo como outlook o thunderbird no van a poder recibir ni por pop/imap, ni enviar por smtp, ya que vas a tener los puertos bloqueados.

    Saludos.



  • Muchas gracias Rocaembole. Pondré en práctica tus consejos a ver que tal.
    Un saludo


Log in to reply