jhostin_jm

Portal cautivo Yendo a [Captive portal] podemos configurar la forma en que los usuarios de una red entran a navegar por Internet. A esta prestación se le llama portal cautivo. El portal cautivo admite desde sencillas configuraciones donde sólo aparece una página de información al usuario hasta distintos sistemas de validación. Se muestra aquí cómo habilitar el portal cautivo para la red sin hilos (wireless) con una página de información al usuario, sin autentificación y con un tiempo máximo de conexión de 30 minutos. ] El código HTML cargado en Portal page contents es: <html> <head> <title>wireless.dominio.ejemplo</title> </head> <body> <h1><font face="Arial">wireless.dominio.ejemplo</font></h1> <p><font face="Arial">Has entrado en nuestra red sin hilos (wireless).</font></p> <p><font face="Arial">Esta red es un servicio público de libre acceso. Como medida legal y de seguridad, <b>todas las conexiones que realices serán registradas y guardadas durante un tiempo prudencial en nuestros servidores</b>.</font></p> <p><font face="Arial">En caso de producirse algún problema legal con el uso de esta red nos reservamos el derecho de entregar los registros de las conexiones realizadas a las autoridades competentes.</font></p> <p><font face="Arial"><b><font color="#FF0000">Las conexiones están limitadas a 30 minutos. Pasado este tiempo serás desconectado automáticamente.</b> Puedes, no obstante, volver a conectarte después si lo deseas.</font></p> <p><font face="Arial">En bien de todos/as, haz un buen uso de este servicio ...</font></p> <p><font face="Arial">¡Gracias!</font></p> <form method="post" action="$PORTAL_ACTION$"> <p align="center"><font face="Arial"> <input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$"> <input name="accept" type="submit" value="Acepto las condiciones del servicio"> </font> </form> </body> </html> es decir, que lo que ve el usuario cuando entra por primera vez a su navegador es:

Reglas del cortafuegos Estamosahora en el corazón del cortafuegos. Aquí se decide qué conexiones se permiteny cuáles no. Tenemosque entender el cortafuegos como una caja con una serie de puertas de entrada.Se trata de dejar o no dejar entrar (paquetes de información) por cada una delas puertas que tenemos. Este concepto es muy importante, ya que si un paquetede información puede entrar por una puerta querrá decir que saldrá (enprincipio) por cualquier otra. Por tanto, en lo que se refiere a lassalidas sólo nos ocuparemos de seleccionar cuál queremos. Nada más que esto. Cada puerta tiene pues sus reglas, que se ejecutan según el orden en que estánpuestas. De la primera hacia la última de la lista. Digo "hacia laúltima" porque cuando un paquete de información cumple una de las reglasse hace la acción que dice la regla y ya no se miran las siguientes. ¿Y quépasa si se llega a la última regla y ninguna de ellas se ajusta a nuestropaquete de información? Pues que el paquete no pasa. Si no hay regla, elpaquete es bloqueado. ¿Y quéacciones puede hacer una regla? Pues tres: dejar pasar (pass), bloquear (block)y rechazar (reject). La diferencia entre bloquear y rechazar es importante. Sise bloquea, simplemente se ignora el paquete de información que se estárecibiendo. Si se rechaza, se comunica al emisor que no se quiere el paquete.Por tanto, normalmente se bloquea. ¿Por qué? Pues porqué bloquear es silencioso,es no hacer caso al emisor y nada más. Tambiénpodemos desactivar reglas. Las reglas desactivadas se ven"difuminadas" en la lista de reglas. Ello resulta especialmenteinteresante cuando se precisa de reglas ocasionales. Por ejemplo, para tareas deadministración de la red. Todos losordenadores cliente emplean como configuraciónautomática de proxy elarchivo www.dominio.ejemplo/proxy.pac capaz de detectar si el proxy estádisponible o no. En caso de no estar disponible, la navegación se hace de formadirecta. El contenido del archivo proxy.pac es: function FindProxyForURL(url,host) { // No emplear proxy desde 192.168.XXX/24 // Hace obsoletas las regles 3 y 4 de la LAN isInNet(myIpAddress(), "192.168.XXX.0","255.255.255.0" {return "DIRECT";} // No emplear proxy para nuestros dominios if(shExpMatch(url,"*.dominio.ejemplo/*") {return"DIRECT";} if (shExpMatch(url,"*.dominio.ejemplo:*") {return"DIRECT";} if(shExpMatch(url,"*.dominio.ejemplo2/*") {return "DIRECT";} if(shExpMatch(url,"*.dominio.ejemplo2:*") {return "DIRECT";} if(shExpMatch(url,"*/localhost/*") {return "DIRECT";} if(shExpMatch(url,"*/localhost:*") {return "DIRECT";} // No emplear proxypara microsoft if (isInNet(host, "207.46.0.0","255.255.0.0") {return "DIRECT";} if (isInNet(host, "64.4.0.0","255.255.192.0") {return "DIRECT";} // Emplear proxy en el resto de casos // Si el proxy falla o no se encuentra, va directo return "PROXY proxy.dominio.ejemplo:8080;DIRECT"; } Si sedesea, se pueden configurar reglas destinadas a bloquear el acceso alproxy, con el fin de forzar las conexiones de determinados clientes de formadirecta. Por tanto, no hay que perder de vista que proxy.pac y lasreglas del cortafuegos actúan conjuntamente. ¡Vamosallá, pues! A las reglas de cada una de las seis interfases ... [Firewall] [Firewall] [WAN] [Firewall] [Firewall] [Firewall] [Alumnes] [Firewall] [Firewall] Explicaciónde las reglas: 1).-Sepermite cualquier acceso desde la red LAN a la red Alumnes 2).-Se permite cualquier acceso desde la red LAN a lared Wireless. 3).-Se permite cualquier acceso desde los servidores(en la red LAN) al servidor proxy, situado en la red WAN (tareas deadministración). Regla desactivada (obsoleta) porqué enproxy.pac ya se dice que la LAN va directa. 4).-Se bloquea para el resto de ordenadores de la redLAN el acceso al servidor proxy (situado en la red WAN). De esta forma sefuerza la navegación directa, sin proxy (gracias a proxy.pac). Regla desactivada (obsoleta) porqué en proxy.pac ya se diceque la LAN va directa. 5).-Cualquier ordenador de la red LAN puede ir a la redWAN, siendo la puerta de enlace la IP privada del router ADSL (192.168.AAA.1).En la práctica esto permite llegar al router ADSL (por ejemplo, para hacerleping). 6).-Lo mismo que 5, pero para WAN1. Permite administrarel router ADSL (192.168.BBB.1). 7).-Lo mismo que 5 y 6, pero para WAN2. Permiteadministrar el router ADSL (192.168.CCC.1). 8).-www de la red LAN accede a Internet empleando elrouter 192.168.AAA.1. 9).-mail de la red LAN accede a Internet empleando elrouter 192.168.BBB.1. 10).-s207 de la red LAN accede a Internet empleando elrouter 192.168.BBB.1. 11).-s18 de la red LAN accede a Internet empleando elrouter 192.168.CCC.1. 12).-s204 de la red LAN accede a Internet empleando elrouter 192.168.BBB.1. 13).-s206 de la red LAN accede a Internet empleando elrouter 192.168.AAA.1. 14).-El resto de tráfico de la red LAN saldráhacia Internet empleando el router 192.168.AAA.1. [Firewall] [WAN] Explicaciónde las reglas: 1).-La existencia de servidores (y, lo que es lo mismo, deservicios de archivos de Windows) en la red LAN origina paquetes del examinadorde equipos que llegan a la puerta de enlace por defecto del cortafuegos. los bloquea automáticamente comomedida de seguridad. Estos bloqueos quedan reflejados en el log delcortafuegos. Esta regla sólo tiene la finalidad de sustituir el comportamientoestándar de pfSense y evitar así los logs. 2).-Se permite el acceso (desde la red WAN) a www de laLAN en protocolo TCP y para los puertos estandard (HTTP, HTTPS y SSH). Estaregla se complementa con el NAT Port Forward definido para www. [Firewall] Lasreglas corresponden a la autorización del tráfico (desde la red WAN1) para losNAT Port Forward anteriormente definidos ... [Firewall] Lasreglas corresponden a: 1).-La autorización del tráfico (desde la red WAN2) delNAT Port Forward anteriormente definido para s204. 2).-La autorización del tráfico (desde la red WAN2)para el port 1194, que emplea OpenVPN . pfSense incorpora el servidor OpenVPN , que permite montar accesos VPN.Por ejemplo, podremos conectarnos desde casa, con una IP dinámica, y ser unamáquina más de las redes gestionadas por pfSense . Todo ello garantizando nuestraautentificación y estableciendo un túnel encriptado a través de Internet. Paramás detalles sobre la configuración de OpenVPN , ir a la página [ OpenVPN ] de esta web. [Firewall] [Alumnes] Explicaciónde les reglas: 1.)Se permite el tráfico hacia FTP-Proxy Helper, quereside en localhost (127.0.0.1). 2.)Se bloquea el acceso a la administración de pfSense desde la red Alumnes. 3.)Se bloquea el acceso a servicios de Microsoft desdela red Alumnes. Este bloqueo funciona sólo si no se pasa por el proxy que hayen la WAN. Por ello, en proxy.pac hay una regla para ir directo en el caso deMicrosoft. 4.)En contraposición a la regla 2, se permiten elresto de accesos de Alumnes a Alumnes. Esta regla es necesaria porqué la redAlumnes ve la IP de pfSense como servidor DHCP, DNS y puerta de enlacepredeterminada. 5.)Regla desactivada. Si se la activa sirve parabloquear el acceso al servidor proxy situado en la red WAN. 6.)Permite el acceso a la red WAN desde la redAlumnes. Regla necesaria para poder acceder al servidor proxy de la WAN. 7.)Regla desactivada. Si se la activa permite elacceso a la red WAN1 desde la red Alumnes. 8.)Regla desactivada. Si se la activa permite elacceso a la red WAN2 desde la red Alumnes. 9.)Permite el acceso desde la red Alumnes a www porlos puertos estandard (HTTP, HTTPS y SSH). 10.)Permite el acceso desde la red Alumnes a www porlos puertos samba (servidor Samba/CIFS ). 11.)Permite el acceso SSH desde la red Alumnes a s207. 12.)Permite el acceso desde la red Alumnes a s207 porlos puertos samba (servidor Samba/CIFS ). 13.)Permite el acceso desde la red Alumnes a mail porlos puertos correu (SMTP, POP3 SSL, HTTP y HTTPS). 14.)Permite el acceso desde la red Alumnes a s204 porel puerto 60080 (webcam). 15.)Permite el acceso desde la red Alumnes a s204 porlos puertos samba (servidor Samba/CIFS ). 16.)Permet el acceso por RDP desde la red Alumnes a s204. 17.)Permite el acceso desde la red Alumnes a cb50 porel puerto 60081 (webcam). 18.)Permite el acceso desde la red Alumnes a s206 porlos puertos samba (servidor Samba/CIFS ). 19.)El resto de tráfico de la red Alumnes saldrá haciaInternet por el router ADSL 192.168.AAA.1. [Firewall] Vistaslas reglas de la red Alumnes (sin duda la más compleja), las de la red Wirelessse explican por si mismas ... Lasdiferencias son que para la Wireless sólo se autorizan los servicios localesque se tendrían si se accediese desde Internet (web, SSH, correo y webcams) yque la conexión a Internet se hace por el router ADSL 192.168.CCC.1.