@dvserg:

В вашем случае достаточно сделать разрешающее правило для прохождения трафика по 80 портe только на сервера CITRIX, остальные пусть идут и настраивают http/https/ftp через непрозрачный прокси pfSenseIP:3128. Если лениво - добавить в корень WWW сервера WPDA.DAT и прописать автоопределение прокси у всех клиентов. В любом случае, кроме как через прокси в инет они не попадут.

Цитрикс Вы разрешаете в правилах файрвола путем открытия 80 порта только на адрес Цитрикс сервера. Остальной же интернет по 80 порту по прежнему напрямую недоступен. Весь остальной HTTP должен работать через сервис squid, который управляет только протоколом HTTP (s).

У меня сработало так:

1. Устанавливаю пакет Shellcmd
2. В Virtual IP задаю интерфейс и ip-адрес
3. Shellcmd > вписываю ifconfig имя-интерфейса inet ип-адрес-заданный-в-Virtual-IP/маска alias. Type - shellcmd.
4. В файерволе разрешаю необходиміе протоколы на этот адрес.

1.JPG
1.JPG_thumb
2.JPG
2.JPG_thumb

присоединяюсь к данному вопросу под версией 1.23 мас адрес  в пппое можно изменить без проблем в версии 2бета-2rc не хочет.

буду благодарен

при работе с вмарными адаптерами - есть несколько моментов, которые я юзал: 1 - это могут висеть драйвера других файрволлов или антивирустов (у меня например фаер тренда висит, может лочить траф), 2 я отключал лишние протоколы, когда мне это не надо было, например надо что бы с данной сетевой - шел траф только к свитчу\роутеру, при этом не надо что бы через эту сеть работала винда - то отключал все, кроме вмварного протокола…
з.ы. с есх проще... :)

@iliaxxx:

@Evgeny:

@iliaxxx:

Ситуация такая, у меня 1 провайдер, он предоставляет пул из 6 ip адресов, wan интерфейс настроен на DHCP. Можно ли создать 5 дополнительных виртуальных интерфейсов, что бы они получили ip с wan интерфейса.
Если можно, то где это делается?

чтобы получать разные ip нужны разные mac-адреса. Через gui это точно не сделаешь.

IP там до DHCP все постоянные. В этом случае, через gui можно реализовать?

Попробуй. Если провайдеру пофик, что ты статику используешь, то вперёд, переходи на статику и используй Virtual IPs.

Ну что так скромно-то? Написал, так пости в топ. Отформатируй чтобы читабельно было.

Слшай, а можешь скинуть скрины настроек VPN клиентов и сервера? .. Оооочень надо.. Плз!

таки есть
  11 root        1 171 ki31    0K    8K RUN    1  33.0H 98.00% idle: cpu1
  12 root        1 171 ki31    0K    8K CPU0  0  34.2H 96.58% idle: cpu0

спасибо

обновлять удалённо даже стабильную версию на стабильну это, по-моему, игра в рулетку.

@denis-k:

Например, такая:

pftpx[6390]: listening on 127.0.0.1 port 8021

Сотри тут http://www.openbsd.org/faq/pf/ftp.html

To activate it, put something like this early in the rules section of pf.conf:     pass in quick on $int_if proto tcp to port 21 rdr-to 127.0.0.1 port 8021 This redirects FTP from your clients to the ftp-proxy(8) program, which is listening on your machine to port 8021\.

@Fre@k:

Хочу например установить торрент клиент по этому ману http://forum.pfsense.org/index.php/topic,22512.0.html
но когда ввожу #pkg_add -r transmission-daemon
выводится вот такое сообщение```
Error: FTP Unable to get ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7.2-release/Latest/transmission-daemon.tbz: File unavailable (e.g., file not found, no access)
pkg_add: unable to fetch 'ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7.2-release/Latest/transmission-daemon.tbz' by URL

Как с этим боротся? Я так понял поменялся адрес ftp-сервера.

Какая версия pfSense ???? Если 2 то бери пакеты от 8 FreeBSD

@zar0ku1:

а при чем тут прокси и dhcp? как они связаны?

WPAD.DAT

У меня работает.
на Vmware сделана пара машинок.
первая цепляется на внешнюю сеть через сетевуху-бридж и делает PPPoE server на виртуальную сеть
вторая ходит в инет через PPPoE который цепляется к первой.
права стоят типа "всё разрешено"
Сборку сделал для тестирования PPPoE клиента, а то частенько бывали сборки с мертвым PPPoE клиентом.
Запускаю, тыкаю "обновить", смотрю как живет после обновления :)

@evgeny:

Привет. Я использую PfSense как DHCP, NAT, Proxy, OpenVPN, port forward и static routing в LAN (private C-class).

Мне нужно получить подсеть белых IP (public /24) с Firewall и Shaper на дополнительном интерфейсе. Тут может быть вообще оптимальное решение?

Обратиться к провайдеру, чтобы выделил.

в  cmd(command line)
nslooup имя_сайта
что пишет у меня так

C:\Users\Tamriel>nslookup ya.ru ╤хЁтхЁ:  pfsense.localdomain Address:  192.168.0.1 Не заслуживающий доверия ответ: ╚ь :    ya.ru Addresses:  87.250.250.203           87.250.251.3           93.158.134.3           93.158.134.203           213.180.204.3           77.88.21.3           87.250.250.3

для надёги впиши себе ДНС провайдера жестко (какое у тя подключение от провайдера PPPoe или какое другое?)

@dvserg:

В разрешающем правиле для 80 порта на LAN выберите gateway интерфейс OPT1

Можете обяснить по подробнее, а то смотрю в сислоге не определяются ip сайтов (
Может поднять dns сервер?

в гигабайтах…. adventnet netflow..

судя по статье - надо таки перечислять абонентов… :(

1. Завернуть HTTPS никак. Должно быть прямое подключение к прокси.
2. Кэширование определяется размерами оперативки и жесткого диска. Поиск по англоязычному форуму даст доп настройки к обновлениям Windows
3. http://forum.pfsense.org/index.php/topic,21394.0.html
4. Нет, но  Выключите галку Allow users on interface  и попробуйте задать в Allowed subnets разрешенные адреса типа 192.168.1.1/32. В вашем случае для разрешения диапазона 192.168.0.1 - 192.168.0.30 можно использовать маску 192.168.1.0/27 (1-31)
http://www.networkcenter.info/calcs/cidrcalc
Либо рулите через squidGuard - там все более гибко можно сделать.