Штатными средствами на ум приходит только вариант Squid + squidGuard
На pfSense в каталог /usr/local/www кладем простой guest.php файл со всей необходимой информацией
Настраиваем squid как прозрачный и в squidGuard в default прописываем правило DenyAll и пере-адресацию на http://pfsense_ip/guest.php
А вот как там дальше с настройками squidGuard + PPTP - пусть уважаемые гуру подскажут, так как я таких схем не пробовал (вроде у кого-то было уже ?)
Спасибо буду пробовать правда попозже поскольку нужно запустить хоть что нибудь в реальную работу.
Все сообразил уже, там на сайте до которого я разрешал доступ, был счетчик рамблер, из-за него и тупил. Расшарил для него доступ лану, все нормально стало.
Да, геморойно так разрешать доступ, каждому баннеру на сайте надо отдельно доступ разрешать.
Еще раз: такое делается не фаерволом, а прокси сервером
Мне кажется эта схема разумной за исключением одного НО - с LAN интерфейса доступна WEB морда pfSense. Может быть действительно лучше переместить клентов в OPT ?
Не понимаю, раздавать интернет через подключение пптп к пфсенс? не кажется вам это извращением?
Нет не кажеться, другово способа шейпить кнал "не более чем на лицо" в обе стороны не нашел, возможно плохо искал.
А шейпить хочеться, иначе много конфликтов кто съел канал и пр…, squid решает проблему только отчасти - только http и только входящий.
Вопрос немного не в маршрутизации. Короче суть в следующем: С помощью NAT пробрасываются нужные порты со всех трех интерфейсов. Собственно, настройка вебсервера на этом закончена. Прочий исходящий трафик настраивается как load balansing, или Failower, или оставляется по умолчанию через WAN. Ответ на запрос, проброшенный NAT уйдет с того же интерфейса, на который пришел (если интересно, выполните 'pfctl -sa' после настройки - посмотрите правила, поймете почему). Единственно, для PPTP подпишитесь на статический IP (не хочу показаться умником, просто мало ли…). И если собираетесь хостить сайт - советую поднять еще на том же pfsense DNS сервер. А если получится договориться с регистратором, чтоб он забирал зону с вашего DNS вы значимо убавите себе головняков.
Еще раз, извиняюсь, если получилось слишком в духе Капитана Очевидности :)
