Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Переход от iptables на PfSense

    Scheduled Pinned Locked Moved Russian
    32 Posts 4 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter @AntonR69
      last edited by werter

      Добрый.
      @antonr69
      Скрины давайте.

      A 1 Reply Last reply Reply Quote 0
      • A
        AntonR69 @werter
        last edited by

        @werter said in Переход от iptables на PfSense:

        Добрый.
        @antonr69
        Скрины давайте
        Настроил PfblockerNG, все работает, блокирует. Запускаю Squid, и вся блокировка пропадает. Squid мне нужен для статистики. Он не прозрачный т.к. есть юзеры которые ходят в инет с терминального сервера. И идентифицировать их по IP-адресу не получится. По этому они ходят через ввод логина и пароля присвоенного в настройках Squid.

        dns1.JPG

        werterW 1 Reply Last reply Reply Quote 0
        • werterW
          werter @AntonR69
          last edited by

          Добрый
          @antonr69
          Зачем людям инет на терминальном сервере?

          A 1 Reply Last reply Reply Quote 0
          • A
            AntonR69 @werter
            last edited by AntonR69

            @werter said in Переход от iptables на PfSense:

            Добрый
            @antonr69
            Зачем людям инет на терминальном сервере?

            Добрый день. Ну, пока так сложилось. Потом переделаю.
            У меня другая загвозка. На pfsense поднят сквид с авторизацией по логину\паролю. Не могу заставить на рабочих станциях вязаться к почтовым серверам программе thunderbird. Что только не делал. Менял параметры прокси в самой программе, сделал правило по которому разрешено ходить на прямую к почтовому серванту, в самой системе где прописывается адрес прокси сказал что вот на этот адрес (почтовик) ходить помимо прокси. Не помогает ничего. Уже второй день бьюсь. Подскажите, пожалуйста как можно решить проблему?

            werterW 1 Reply Last reply Reply Quote 0
            • werterW
              werter @AntonR69
              last edited by werter

              Добрый.
              @antonr69
              Все настройки сквида скринами покажите.

              ЗЫ. У сквида можно указать КАКИЕ через него разрешать. В advanced добавьте почтовые порты
              Что-то типа https://sysadmins.ru/topic167979.html (последнее сообщение).
              При этом в настройках громоптицы указать, что прокси не использовать (проверить!)

              Зы2. Покажите правила fw на ЛАН. Сквид работает только с http(s) и разрешающих правил на ЛАН для почтовых портов должно хватать.
              https://forum.netgate.com/topic/127606/squid-gmail-thunderbird-unable-to-connect
              https://forum.netgate.com/topic/42208/firewall-rules-for-smtp-pop-to-use-thunderbird

              A 1 Reply Last reply Reply Quote 0
              • A
                AntonR69 @werter
                last edited by

                @werter
                Спасибо за полезные ссылки. кое что прояснилось. Виновник найден немного в другом месте, это был snort. Он по каким то своим идейным соображениям заблокировал наш почтовый сервер.

                werterW 1 Reply Last reply Reply Quote 0
                • werterW
                  werter @AntonR69
                  last edited by werter

                  @antonr69
                  Не надо снорт - надо суриката. Поищите же отличия.
                  Зы. Снорт только одно ядро умеет пользовать, сурикат - многоядерный.
                  Оно вам надо такое?
                  Только самая свежая версия снорта умеет в мультиядерность и ее пока нет в пакетах пф.

                  A 1 Reply Last reply Reply Quote 1
                  • A
                    AntonR69 @werter
                    last edited by

                    @werter
                    Спасибо. День добрый. Снес снорт, поставил сурикату. Почтовые серваки не блочит, но сегодня заблочил сервера обновления и репозиториев pfsense. Хотел пакет поставить, а он мне - Ишь, чаво захотел. Вобщим, отключил пока режим блокировки. Буду пока наблюдать, уму-разуму набираться.
                    Я тут pfsense поставил на сервант. На железном раиде сделал raid1 из двух дисков. Все встало замечательно, но потом меня осенила мысль, а чем я буду контролировать диски в этом раиде, посмотрел, а оказалось нечем. Придется все снести и сделать софтовый раид GEOM встроеный в pfsense.

                    A werterW 2 Replies Last reply Reply Quote 0
                    • A
                      AntonR69 @AntonR69
                      last edited by

                      @antonr69
                      Не прокатил у меня мой вариант. Сервант dell Poweradge 1950 с корзиной из двух дисков. Raid контроллер дает только 3 варианта. Raid0 с одним диском, raid0 c двумя и raid1 с двумя дисками. Так что raid geom не получилось использовать. Ну и ладно, будем периодически в idrac заходить для контроля состояния дисков.

                      P 1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @AntonR69
                        last edited by

                        @antonr69 said in Переход от iptables на PfSense:

                        dell Poweradge 1950

                        Не слишком ли горячая машина для PfSense? 😊

                        A 1 Reply Last reply Reply Quote 1
                        • werterW
                          werter @AntonR69
                          last edited by werter

                          Добрый.
                          @antonr69
                          Ложные срабатывания возможны (~1%).
                          Сурикат (как и любая IDPS) требует некоторого "обучения" - придется руками его потыкать не-кое время.

                          Dell PowerEdge 1950

                          У вас там PERC 5i вроде в кач-ве контроллера. Поищите по 'PERC 5i it mode' в гугле - может и получится его перешить.

                          1 Reply Last reply Reply Quote 1
                          • A
                            AntonR69 @pigbrother
                            last edited by AntonR69

                            @pigbrother said in Переход от iptables на PfSense:

                            Не слишком ли горячая машина для PfSense?

                            Может быть чуток лишака. Пока я не поставил PfblockerNG хватало коры дуба Е7400 с 4 гигами оперативки. Как поставил PfblockerNG машинка моя загнулась. Это мощная система фильтрации требует больше оперативки и процессора. Этот пакет загружает у меня более 3 миллионов адресов в память. Проц иногда до 40% подскакивает, а их там два 4-х ядерные. Одного наверное хватило бы.
                            pfblockerng.JPG
                            operativka.JPG

                            werterW 1 Reply Last reply Reply Quote 0
                            • werterW
                              werter @AntonR69
                              last edited by

                              @antonr69
                              Развернуть гипер и в нем отдельно пф + pi-hole или adguard home для фильтрации.
                              И глянуть как будет работать.
                              Зы. Кстати, adguard home можно прямо на пф вместо пфблокера развернуть.

                              A 1 Reply Last reply Reply Quote 1
                              • A
                                AntonR69 @werter
                                last edited by

                                @werter said in Переход от iptables на PfSense:
                                Всем привет. Я тут вчера попробовал на базе pfblockerng включить geoip (MaxMaind) фильтрацию. Из разрешенных осталась только Россия. Среди заблокированных оказался клиент из Питера. Его IP реально бьётся на 2ip.ru как питерский, а заблокировал его африканский модуль. Как так, где у него кукушка съехала?

                                werterW 1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter @AntonR69
                                  last edited by

                                  @antonr69
                                  А кто ж его знает. Люди делают ПО - люди не идеальны.

                                  A 1 Reply Last reply Reply Quote 0
                                  • A
                                    AntonR69 @werter
                                    last edited by

                                    Еще подскажите пожалуйста. В Kerio controll в разделе DNS я мог сделать статические записи для локальных хостов, например, имя nas соотносится к ip xxx.xxx.xxx.xxx После создания такой записи я мог попадать на ресурсы вводя одно имя nas. В pfsense почему то я к имени должен добавить еще и имя домена. То есть, запись работает, но только в сочетании nas.domain.xxx. просто по nas не ходит. Это так заложено или я что то не так делаю? Вроде все по инструкции делал.

                                    werterW 1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter @AntonR69
                                      last edited by

                                      @antonr69

                                      просто по nas не ходит

                                      И не надо. Настройте по nas.domain.xxx.
                                      При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
                                      И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.

                                      A 1 Reply Last reply Reply Quote 0
                                      • A
                                        AntonR69 @werter
                                        last edited by

                                        @werter said in Переход от iptables на PfSense:

                                        @antonr69

                                        При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
                                        И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.
                                        Дело в том что первым днс как раз стоит pfsense, и при этом по имени без домена не ходит.

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.