Regla que no pase por portal cautivo



  • Hola a todos,

    ¿alguien sabe si es posible hacer que una regla se salte la obligación de pasar por el portal cautivo? Me explico, me interesa que todos los pcs de la LAN tengan acceso al puerto 25 y 110 para correos POP pero no quiero que todos ellos tengan accesso a Internet (sólo aquellos que se validen en el portal). La verdad es que no se me ocurre una forma de hacerlo, ¿a vosotros?

    Gracias de antemano



  • Me respondo yo mismo. Parece que de momento no es posible, literalmente "todo o nada" con CP.

    ¿Se os ocurre alguna idea para hacer lo comentado de una forma + o - buena? El útlimo recurso sería por MAC, pero no me parece bueno porque hablo de usuarios, no de máquinas.



  • ¡Hola!

    En realidad pfSense emplea dos cortafuegos simultáneos. Uno para las reglas, PF (Packet Filter) y otro para el portal cautivo, IPFW (IPFIREWALL).

    El portal cautivo se comporta de tal manera que hasta que el usuario no pasa la validación su máquina no puede hacer conexiones. Esa es su finalidad …

    Si quieres bloquear la navegación te bastará con:

    1. Crear un alias_de_ips con las IPs de las máquinas que deseas que no naveguen.
    2. Crear un alias_de_puertos con los puertos autorizados (los de correo, DNS, NTP, ...)
    3. Crear una regla en LAN de bloqueo para origen el alias_de_ips con destino distino al alias_de_puertos.
    4. No emplear el portal cautivo.

    Por supuesto está la pega de que esto está basado en IPs, que los usuarios siempre pueden llegarte a cambiar a menos que bases tu instalación en DHCP estático (asignación de IP por MAC), cosa recomendable.

    Saludos,

    Josep Pujadas


Log in to reply