@Gangrena said in Blokujemy, blokujemy, blokujemy :):

Hej brygada,

Od jakiegoś czasu bawię się PFS, odkrywam ciekawe rzeczy :) ale....
Zderzyłem się ze ścianą :(
Mam LAN + 2 VLAN (Dom, Goście)

Na LAN chcę zablokować wszystkim dostęp do portali społecznościowych, filmowych itp.
Na VLAN Dom chcę aby tylko trzy kompy miały dostęp do w/w portali
Na VLAN Goście chcę zablokować AnyDesk, TW itp.

O ile przez reguły mogę zablokować pojedyncze IP lub domeny, to problem zaczyna się z blokowaniem serwisów, które korzystają z CDN itp. rozwiązań :( czyli wszystkich w/w :)

W necie jest tyle samo rozwiązań co problemów, ale nie trafiłem na dobre rozwiązanie.
Jak "prosto" zablokować AnyDesk, TW, Tube, Netflixa ?
Pół królestwa i rentę królewny :) temu, kto podpowie co i jak....

Można to zrobić za pomocą Squid i Squidguard w trybie transparentnym (przechwytywanie jest złożoną konfiguracją, dlatego należy używać trybu transparentnego) lub można to zrobić za pomocą pakietu pfblockerng opartego na DNS.

@zbigniew said in Podsiec:

Witam,

Mam glowna podsiec na adresach 192.168.4.0 ale firewal i pfBlockerNG oraz DNS nie widzi tej podsieci. Podziec jest na eero gdzie ustawilem jako serwer DNS 192.168.1.1 czyli Pfsense ale ale ja ignoruje. W tej podsieci wciaz dzila serwer DNS na adguard i wciaz z z nie kozysta. Jak zrobic aby ruch w tej posieci kozystal z serwera pfsense?

ustawiłeś nat, aby skierować każde żądanie do portu 53 na ten adres? Zablokuj także DoT, użyj tej listy.

@OdoMarTus said in pfSense i Orange Światłowód -=konfiguracja WANa:

Hejka.
Dopiero rozpoczynam przygodę z pfSense - to tak na wstępie.
Orange swój swiaatowód oferuje jako usługa PPPoE na vlanie 35. Do tego oczywiscie potrzeba login user@neostrada.pl + hasło.
Mam ONT od Orange`a [kiedyś udało mi się go zostawić razem z FB3 przy mogracji z 300Mbps na 1Gbps. Z czasem okazało się, że zniknął z mojej listy :]

Moje pytanie dotyczy czy dobrze kombinuję
Oczywiście pfSense jest VM na proxmoxie [$GB RAM i 30GB ROM]
w CLI dla interface WAN dodaje vlan35. Po zalogowaniu się do GUI mam go zapiętego pod interface WAN.
W GUI dla WAN dodaję jedynie dane dla PPPoE

Czy dobrze rozumuję?
Oczywiście dla spokoju podam DNSy [kilka, ale nie Orange`owe].

Edward

kup pfSense plus na oficjalnym produkcie, otrzymasz mnóstwo narzędzi, takich jak środowiska rozruchowe i automatyczne kopie zapasowe, jest o wiele więcej zastosowań z wersją plus. Na przykład kup oficjalny produkt pfsense i plus jest wliczony.

@Przemyslaw85 Instalacja była czysta, wszystko ręcznie klikałem 1 do 1 jak na innym bliźniaczym sprzęcie.

@Marcin-S said in OpenVPN - wychodzenie na konkretny adres bramką serwera OpenVPN:

Próbowałem ta opcję wcześniej, bez rezultatu.
Zaznaczenie tej opcji wycina cały ruch na zewnątrz i do sieci lokalnej (VPN).

zrobiłem test na pfsense 2.3.5 i zadziałało, myip pokazuje że wychodzę ip serwera oVPN, patrzyłeś co dostajesz na interfejsie? (ipconfig /all) bo pewnie nie dostajesz adresów DNS i poprawnej bramy

@tomashk
Aktualnie mam Proxmox @ HP 630, postawione na nim Unifi, UISP, HA, PiHole, Uptime Kuma.
Wszystko śmiga.

@pitterski
Dwie uwagi. Inteface "WireGuard" to interfejs zbiorczy do:

wszystkich tuneli WG (Interface Group Membership = All Tunnels)
lub tuneli WG, którym nie przypisano dedykowanego interfejsu (Interface Group Membership = Only Unassigend Tunnels)
lub żadnych (Interface Group Membership = Żadnych).
Tym czym jest intefejs "WireGuard" zarządza się w VPN / WireGuard / Settings - ustawienie Interface Group Membership.
Osobiście preferuję do każdego tunelu WG przypisywać dedykowany interfejs i użytkować Interface Group Membership = Only Unassigend Tunnels.

@misiek91 Jakie jeszcze używasz pakiety? Rozumiem że w SNORT na zablokowanej liście adresów Twojego nie ma?
Czy nie utworzyłeś jakiejś reguły w firewall która ma blokować ruch z jakiejś większej puli adresowej np 172.10.1.2/8 ?

Jeśli nie znajdzie się coś wymagającego mniej pracy/gotowego, to najwyraźniej openwrt pozwala zainstalować tailscale. Można więc poszukać najtańsze urządzenie, które to obsłuży. Od razu dodam, że niestety nie testowałem czegoś takiego i nie potrafię powiedzieć, czy ma to sens 🙂

@wojciechwww

https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html

@kamil-0 opcjach serwera OpenVPN odchacz opcję "Inter-client communication". Komunikacja między klientami nie powinna działać. Ale jak wrócę do domu to sprawdzę.

@przemyslaw85 dzięki za odpowiedź. Jedynie zacząłem używać czasami wireguarda na komórce. Do stronki www mam wykupiony hosting. Póki co mam zintegrowaną kartę intela + tplinka ale chcę kupić właśnie jakąś intela. pfBlocker jeszcze nie konfigurowałem (używam snorta) Mój PC (router) to dell optiplex 7010 i5-3570 16GB ram i SSD 256GB

Pozdrawiam

@przemyslaw85
Diagram jest troche misleading. Twoje wytlumaczenie ma sense. Ja uzywam pfsense na custom made router zrobionego z starego PC w prywatnym, wolno stojacym domu. Firmy, tutaj, znajdujace sie w jednym budynku maja swoje oddzielne Internet connection. Moze to stad moje niezrozumienie sytuacji. Dziekuje za wyjasnienie.

@frond Jak wrzucasz regułę to otwarte połączenia dalej działają. Musisz je odszukać w Diagnostics/States i pozamykać ręcznie lub zamknąć wszystkie połączenia https://docs.netgate.com/pfsense/en/latest/monitoring/status/firewall-states-reset.html.
Po tej operacji nowo otwierane połączenia będą już uwzględniane w regułach firewalla.
W takich przypadkach spróbuj identyfikować na jakich portach lecą te połączenia, może wtedy domyślisz się co to może być.

@rajdzen
Takie rzeczy to tylko etherwerx potrafi, pfsense bardzo kiepsko to robi i efekty są mizerne.