Teamviewer pfsense 2.2.6



  • Hola buenas tardes, estoy batallando para bloquear todo a un pc y solo dejar el teamviewer funcionando

    la regla tengo asi

    IPv4 TCP 192.168.1.0/24 * * * * none   (toda la red bloqueada)
    IPv4 TCP/UDP * 5938 * 5938 * none  (toda la red pueda salir por el puerto 5938, que es teamviewer) pero no me funciona

    Alguien a tenido el mismo problema saludos


  • Rebel Alliance



  • Hola.

    Pon las reglas permisivas específicas las primeras (añadiría una regla que permita consultas DNS), y la que bloquea todo al final

    Salu2



  • Teamviewer necesita el puerto 5938 así que deberías permitir a la máquina salir por ese puerto.

    Sin embargo, no estoy seguro de que eso sea suficiente pues me parece que igual necesita salir a Internet para anunciarse en los servidores de Teamviewer y eso lo hace por el puerto 80 o por un proxy. Conseguir las IP de destino se los servidores sería ideal pero no es algo fácil de conseguir ni mantener ya que van cambiando.



  • Pues sigo embolado con el teamviewer y todo lo demás

    Asi tengo mi configuración segun lo que he leido (y leido bastante las reglas se ejecutan de arriba hacia abajo

    2 y 3 dejo pasar todo por ipv4 y ipv6
    4 dejo pasar dns
    5 dejo pasar todo a las ip de teamviewer
    6 dejo pasar todo al puerto de teamviewer
    7 hago una prueba si la pc 192.168.2.181 puede ver la pagina de http://www.alcancelibre.org/
    8 cierro todo al ip 192.168.2.181

    aquí no cierro nada la pc con la 181 tiene toda la navegación si la regla 8 la muevo antes de las 2 no tengo salida de nada, alguien que me auxilie, gracias  :'(


  • Rebel Alliance

    Si, se aplican de arriba hacia abajo, pero la primera que cumple se aplica y no se evalúan las siguientes…. (First match wins)

    Por lo que si tu primera regla (2) es "allow all" (any / * / permite todo) las de abajo (4, 5, 6, 7 y 8) son inútiles, ya que nunca aplicarán.

    En, las reglas a menos que necesites realizar "Policy Routing" o que utilices "Muti-WAN"  No especificas GW  ;)

    Por aquí tienes un tema acerca de TV https://forum.pfsense.org/index.php?topic=99840.msg556283#msg556283



  • Deje las reglas de esta forma

    Revisando el post anterior se deberia de portar asi

    regla 1  Todos pueden ver servidores de DNS
    regla 2 Todos pueden ver las ip de teamviewer
    regla 3 Todos pueden ver el puerto de teamviewer
    regla 4 Todos pueden ver la url www.alcancelibre.org
    regla 5 Cierra todo lo demas a la ip 192.168.2.181

    Con esta regla no puedo ni usar teamviewer ni ver la url www.alcancelibre.org que es lo que en un principio quiero hacer  ::) me explico?


  • Rebel Alliance

    En la Regla 1, cambia  UDP a TCP/UDP

    Verifica que la resolución de Nombres esté Funcionando  (nslookup)

    En la Regla 2 (que es una regla Pass, no de Bloqueo), qué tienes en al alias "tvip" ?  (adjunta captura de pantalla)

    La regla 3 ???? permites salir a "cualquier" (any / *) IP con puerto de destino  5938 (no solo a tv)….

    En la regla 4, qué tienes en al alias "alcance" ?  (adjunta captura de pantalla)

    En la regla 5, si quieres bloquear "todo" para el Host 192.168.2.181 utiliza "any" como protocolo ;)

    Tu  LAN está en el segmento 192.168.2.0/24 ?



  • @ptt:

    En la Regla 1, cambia  UDP a TCP/UDP

    Verifica que la resolución de Nombres esté Funcionando  (nslookup)

    En la Regla 2 (que es una regla Pass, no de Bloqueo), qué tienes en al alias "tvip" ?  (adjunta captura de pantalla)

    La regla 3 ???? permites salir a "cualquier" (any / *) IP con puerto de destino  5938 (no solo a tv)….

    Si es el puerto de teamviewer y queria ver si no es por ip por el puerto 80 que vaya por este puerto pero ni asi

    En la regla 4, qué tienes en al alias "alcance" ?  (adjunta captura de pantalla)

    En la regla 5, si quieres bloquear "todo" para el Host 192.168.2.181 utiliza "any" como protocolo ;)

    Tu  LAN está en el segmento 192.168.2.0/24 ?

    Si esta en el segmento 192.168.2.0/24 y efectivamente para la prueba quiero bloquear todo para la ip 192.168.2.181 menos la pagina www.alcancelibre.org y el teamviewer


  • Rebel Alliance

    @oscarmty:

    Si esta en el segmento 192.168.2.0/24 y efectivamente para la prueba quiero bloquear todo para la ip 192.168.2.181 menos la pagina www.alcancelibre.org y el teamviewer

    Pues, con las reglas que tienes, NO es eso lo que estás haciendo…. vuelve a leer los links a la documentación



  • @ptt:

    @oscarmty:

    Si esta en el segmento 192.168.2.0/24 y efectivamente para la prueba quiero bloquear todo para la ip 192.168.2.181 menos la pagina www.alcancelibre.org y el teamviewer

    Pues, con las reglas que tienes, NO es eso lo que estás haciendo…. vuelve a leer los links a la documentación

    OK gracias



  • RESUMEN

    Después de leer y leer

    Asi quedaron las reglas, desde la pc de pruebas antes de poner la 1er regla revisaba con un telnet y despues de aplicar la regla lo volvi a revisar con el telnet, funcionando al 100% DNS, POP, TeamViewer, Smpt

    Pero habilitando el 80 esa regla no me funciona, ni navega ni hace un telnet a un servidor apache que tengo publicado en la nube

    Seguire investigando que le pasa y con los resultados se los compartiré para los muy novatos como yo tengan de donde tener una idea



  • Como era de esperarse error mio, no me acordaba que instale squid desde el principio ahi es donde se configura las salidas, gracias por sunapoyo