merhaba,
sanal ortamda farklı pf sürümleri ile denenebilir.
ancak nat sim. tarafında bir limit olduğundan bahsediliyor, o yüzden versiyonların çok da fark edeceğini zannetmiyorum.
alt versiyon olarak pf 1.2.3'den başlamanızı tavsiye ederim. / çok eski, ancak stabil

WPAD dosyası halen android ve IOS işletim sistemlerinde otomatik olarak algılanmıyor,

WPAD dosyası ile ilgili gelişmiş bir yapılandırma örneği gönderiyorum.

Kodda ilk satır iç IP yi proxy den bypass etmek için.
ikinci satır iç ipdeki ulaşamadığınız web sunucusu için (internal web server)
üç ve dört bypass edeceğiniz domain için http ve https gereklidir.

function FindProxyForURL(url,host) { if (isInNet(myIpAddress(), "192.168.2.2", "255.255.255.255")) return "DIRECT"; if (shExpMatch(url, "http://192.168.2.1*")) {return "DIRECT";} if (shExpMatch(url, "https://192.168.2.1*")) {return "DIRECT";} if (shExpMatch(url, "http://www.tcmb.gov.tr*")) {return "DIRECT";} if (shExpMatch(url, "https://www.tcmb.gov.tr*")) {return "DIRECT";} else return "PROXY 192.168.2.1:3128";

Dediğinizi anlıyorum, ben de yeniyken öyle sorunlar yaşadım. Bazen, sürüm farkından dolayı, bulduğum cevaplar bile işe yaramadı. Temel bölümleri geçtikten sonra çok da zorluğu kalmıyor.

Dhcp sunucuda rezerve edin demek, mac adresleri kaydedip pfsense'in bu adresi tanımasını sağlamaktır. mesela ff:ff:ff:ff:ff:ff adresli bir terminali bir ip numarası atayarak veya atamayarak sunucuya kaydedebiliriz. Eğer bir ip adresi atarsanız, makine her zaman aynı ip adresini alır, dhcp havuzundaki ip adresleri ile değişmez. Böylece ip adreslerine göre engelleme ya da kısıtlama yapabilirsiniz. Mesela 1. kattaki makinalere 172.60.1.50 ile 172.60.1.100 arası adresler verdiyseniz, bu ip bloğundakilere aynı anda işlemler yapabilirsiniz.

Services>dhcp server sayfasında en üstten 2. seçenek olan "deny unknown clients" seçersek, kaydedilenler haricinde hiçbir makina ip adresi alamayacaktır.

1 - Ip ve mac engelleme derken yerel makinelerin lan ve wan'ı kullanmasını istemiyorsanız yukarıda dediğim gibi kaydetmediğiniz makineleri dışarıda tutabilirsiniz.

2 - firewall > traffic shaper > layer7 sayfasında yeni bir kural oluşturup bittorrenti engelleyebilirsiniz.

3 - https://forum.pfsense.org/index.php?topic=82052.0 burada anlatılıyor. Buradaki mantık bu tür programların kullandığı ip adreslerini engellemek. En çok kullanılan programların en çok kullanılan adreslerini engellemek yeterli olacaktır.

tekrar merhaba,
openvpn ile login olan kullanıcının, pf yönüne trace çıktısını kontrol ettiniz mi ?
Ek olarak, squid / acl yapilandiranizda, openvpn networke izin verdiniz mi?

Mesela böyle deniyor; “Light Squid” paketini kurup çalıştırabilmemiz için için öncelikle “squid” ve “squidGuard” paketlerinin kurulu olması gerekir bu paketlerin kurulumlarını önceki makalelerimizde incelemiştik.

Ama squidGuard kurulduktan sonra service stopped oluyor. Bununla ilgili net bir çözüm de yazılmamış.

squidGuard  gerekli mi?

menulerin üst üstte gelmesi, genelde ie tarafında oluyor, firefox veya chrome kullanın.

squid, proxy server olarak çalışır, raporlamasını da lightsquid ile yapabilirisiniz.
squid olmazsa, lightsquid çalışmaz.
ancak lightsquid paketinin squidquard zorunluluğu yoktur.
web filtreleme yapacaksanız squidguard kullanabilirsiniz.
varsayılan olarak devre dışı gelir.
paketin anasayfasında, enable checkbox'ı seçip, save ve apply butonlarına bastığınızda, servis çalışacaktır.
yapılandırma için, portal - makale serisindeki link işinizi görür.

https://forum.pfsense.org/index.php?topic=86364.0

mac address control bölümündeki girdileri silin.
devamında ip alabiliyorsa terminaller, deny unknown seçeneğini test edin.

block kuralı, any kuralının üstüne alırsanız, istediğiniz olur.

geri bildirim için teşekkürler.

Merhaba,
tüm bu süreçler ile manual ilgilenmek yerine, carp kullanmak daha basit değil mi ?
hergün yeni bir donanım çözümünün çıkmasından dolayı, birçok eski donanım boşta duruyor.
carp erişilebilirlik açısından fazlasıyla iş görecektir diye düşünüyorum.
keyifli çalışmalar

@mbkeskin:

Arkadaşlar;

Kendi uyguladığım yöntem aşağıdadır. Sorunsuz çalışmaktadır,

Pfsense’de full backup alıp geri dönmeniz gerekirse aşağıdaki adımları izleyebilirsiniz.

Aşamaları kendim oluşturdum, test ettim ve sorun yok.

1."/etc/rc.create_full_backup" komutu ile backup al
2. Konfigürasyonun yedeğini al
3.Yeni Kurulu makineden "/etc/fstab" dosyasını al
4."/root/" altına backup kopyala
5."/etc/rc.restore_full_backup" komutu ile geri dön
6."/etc/fstab" dosyasını geri kopyala
7. konfigürasyonu interfacelere göre editle
8. konfigürasyonu geri yükle

@tuzsuzdeli:

@tcjackal:

terkar merhaba,
dmz port yönlendirme yaparak, tilgini daha verimli kullanırsınız.
önceden hizmet vermesi gereken host sayısı 20 ise, şimdi 1'e düştü.
state tablonuzda daha az satır olacaktır.

Her bir state için tabloda bir girdi olduğuna göre, client tarafında 20 ya da 1 makine olması state tablosundaki girdi sayısını etkiler mi ?

Merhaba,
evet etkiler.
hostların state girdisi artık pf üzerinde oluşturur, devamında gerekli public filtrelemelerden sonra modem tarafındaki girdi de oluşur.
local -> public yönünde, benzer erişimler için pf state açma ve sonlandırmayı gerçekleştirdiğinden, modem tarafında daha az satır oluşacaktır.
ek olarak, modem public -> local yönünde trafiği kontrol etmeden, direk pf wan int. gönderdiğinden, daha az kaynak harcar.

PPTP Vpn için bir çözüm bulamadım bende. Sanırım sorun iki Wan kullanmaktan kaynaklanıyor. VPN kullanacağım hattı Default yaptım, bütün yönlendirmeleri ona yaptım ama yemedi. IpSec Vpn'de sıkıntı yok kullanabiliyorum. Onda da karşı tarafın modeminin IPSec Vpn desteklemesi gerekiyor. Zyxel ve Tp-Link'in Ipsec destekleyen modemleri var. Mecburen ona yöneleceğiz gibi görünüyor.

@serdartaneri:

Merhaba sorununuz ile ilgil bir bilgim yok malesef ama, size şunu sormak isterim, logları Openssl ile Pfsense üzerinde imzalıyorsunuz sanırım,
bu kurulumun nasıl olduğu ve dökümanlarını paylaşabilirmisiniz.(Openssl kurulumu,konfigurasyonu ve script dosyaları)

Kolay Gelsin

Merhaba,

Aşağıda ki link üzerinden gerekli dökümana ulaşabilirsiniz. Fakat PfSense üzerinde iki adet openssl var. Yukarıda ki komut dosyasında konumunu yazdığım openssl sürümünü kullanırsanız problemsiz halledebilirsiniz. Linki takip ederek, CA dosyalarını oluşturmanız gerekmektedir.

https://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/

Açıkcası, 1 gece boyunca uğraşmak zorunda kalmıştım conf dosyaları için. Eğer başarılı olamazsanız tüm dosyaları ekleyebilirim.
En üst dizne hepsini attığınız zaman shell komutu sorunsuz çalışır. Ama kendi sertifikanızı oluşturmanız gerekir.

https://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/

arkadaşlar belki lazım olur düşüncesi ile tcjackal üstadın yardımlarıyla sorunu şöle çözdüm ana makinadan ip yapılandırmasını

10.10.10.1/16 dan 10.10.15.254 yaptım ve tüm subnetlere proxyserver acl bölümünden izin verdim sorun çözüldü

üstad TCJACKAL VE SGRT teşekkür ederim saygılarımla…

Ok cok teşekkür ederim.

merhaba,
size switch üzerinde tahsis edilen port ile local network arasına pf kurarak çözüm üretebilirsiniz.
pf wan int. tarafında, public ip ve gw tanılmadan sonra, aşağıdaki link işinizi görecektir.
portal üzerinde defalarca kez açılmış, postlar mevcut.

https://forum.pfsense.org/index.php?topic=62334.0

FTP Problemini aşabilen var mı? Dosya karşıya geçerken bozuluyor.

merhaba,
mac - ip bind tarafında, system / dhcp log altına düşen ne ?
bu ip talebi için, ekranı paylaşırsanız, daha hızlı cevap verilebilir.

Selam,

Lan1 kural tablosu ve Squid yapılandırma özellikle hangi arayüzler üzerinden  izin verilmiş onlar çok önemli. ACL üzerindeki tanımlama doğru mu ilgili interface için ilgili olan network ya da network range tanımlı mı.

İçtenliklerimle,
SGTR

ssl için aktif url https://forum.pfsense.org/index.php?topic=86507.0
nasıl yapılırlar ile ilgili portal link https://forum.pfsense.org/index.php?topic=62334.0

Teşekkür ederim sorunu ttnet ile görüşüp çözdüm. Firewall kurallarında engelleyen herhangi bir kural yok. Sorun ttnet bazlı çıktı dış ipmize websitelerimizin bulunduğu ip bloğu engelde kalmış. Şuanda sorun çıkmadan websitelerimize bağlanabiliyoruz.