Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Regla que no pase por portal cautivo

    Scheduled Pinned Locked Moved Español
    3 Posts 2 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dmconde
      last edited by

      Hola a todos,

      ¿alguien sabe si es posible hacer que una regla se salte la obligación de pasar por el portal cautivo? Me explico, me interesa que todos los pcs de la LAN tengan acceso al puerto 25 y 110 para correos POP pero no quiero que todos ellos tengan accesso a Internet (sólo aquellos que se validen en el portal). La verdad es que no se me ocurre una forma de hacerlo, ¿a vosotros?

      Gracias de antemano

      1 Reply Last reply Reply Quote 0
      • D
        dmconde
        last edited by

        Me respondo yo mismo. Parece que de momento no es posible, literalmente "todo o nada" con CP.

        ¿Se os ocurre alguna idea para hacer lo comentado de una forma + o - buena? El útlimo recurso sería por MAC, pero no me parece bueno porque hablo de usuarios, no de máquinas.

        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          ¡Hola!

          En realidad pfSense emplea dos cortafuegos simultáneos. Uno para las reglas, PF (Packet Filter) y otro para el portal cautivo, IPFW (IPFIREWALL).

          El portal cautivo se comporta de tal manera que hasta que el usuario no pasa la validación su máquina no puede hacer conexiones. Esa es su finalidad …

          Si quieres bloquear la navegación te bastará con:

          1. Crear un alias_de_ips con las IPs de las máquinas que deseas que no naveguen.
          2. Crear un alias_de_puertos con los puertos autorizados (los de correo, DNS, NTP, ...)
          3. Crear una regla en LAN de bloqueo para origen el alias_de_ips con destino distino al alias_de_puertos.
          4. No emplear el portal cautivo.

          Por supuesto está la pega de que esto está basado en IPs, que los usuarios siempre pueden llegarte a cambiar a menos que bases tu instalación en DHCP estático (asignación de IP por MAC), cosa recomendable.

          Saludos,

          Josep Pujadas

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.