Правила фаервола

bbs

Доброго времени суток. С наступающими и прошедшими праздниками.  :)

До недавнего времени пользовались на работе керио. В принципе все устраивало, за исключением отсутствия шейпинга для каждого юзера. Но это решали с помощью дополнительного софта.

Поскольку сейчас переходим на лицензионный софт, постепенно отказываемся от некоторых "виндовых" программ.

Препробовав некоторые программные решения (например ipcop, smootwall, endian, zeroshell и д.р. в том числе настройка шлюза на freebsd с нуля + установка сквида, sams  и др. софта.) решили остановиться пока на pfsense.

При тестировании на виртуальной машине и изучении доступных "мануалов" возникли вопросы.

1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

2. Ставим пакет сквид. включаем прозрачный режим. В фаерволе запрещаем все - инет всеравно есть. Почему?

3. Используем сквид в прозрачном режиме. Все работает кроме всяких асек скайпов и т д. Как их "пустить" через прозрачный прокси?

4. Как часть адресов пустить через нат, а часть через сквид? Через нат понятно(в фаерволе создаем правило для нужных адресов или алиасов). Непонятно с сквидом. Вроде как по-умолчанию он раздает интернет для всей локальной сети. Т.е. работатет по принципу можно всем кроме… Возможно ли наоборот? Никому нельзя кроме...

5. Насколько я понял с подсчетом трафика в pfsense пока "грустно". Лайтсквид не видит ничего кроме хттп. Нтоп - вроде более детальная штука но до первой перезагрузки. Кто чем пользуется?

6. Насколько хорошо работают приоритеты трафика(QOS)? Если несколько человек включат "качалки" в, например, 10 потоков будет ли работать у остальных интернет?

Буду очень благодарен если ктото выложит свои правила фаервола и ната чтобы можно было понять общий принцип.

Спасибо. С ув. Богдан

dvserg

1\. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

Подробнее можно ?

2\. Ставим пакет сквид. включаем прозрачный режим. В фаерволе запрещаем все - инет всеравно есть. Почему? 

Кроме гуевых установок файрвола есть куча служебных. Сквидовский прозрачный режим имеет приоритет над гуевыми правилами. Используйте настройки сквида для ограничения доступа. Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.

3\. Используем сквид в прозрачном режиме. Все работает кроме всяких асек скайпов и т д. Как их "пустить" через прозрачный прокси?

Сквид - прокси Web трафика. Всякие аськи и скайпы - другие виды траффика
Для Аси посмотрите imspector

4\. Как часть адресов пустить через нат, а часть через сквид? Через нат понятно(в фаерволе создаем правило для нужных адресов или алиасов). Непонятно с сквидом. Вроде как по-умолчанию он раздает интернет для всей локальной сети. Т.е. работатет по принципу можно всем кроме... Возможно ли наоборот? Никому нельзя кроме...

Видимо прозрачный режим? Или как?

5\. Насколько я понял с подсчетом трафика в pfsense пока "грустно". Лайтсквид не видит ничего кроме хттп. Нтоп - вроде более детальная штука но до первой перезагрузки. Кто чем пользуется?

Пока видимо никому не нужно было. Подсчет трафика может означать от простого счетчика до биллинга - широкое поле деятельности.

6\. Насколько хорошо работают приоритеты трафика(QOS)? Если несколько человек включат "качалки" в, например, 10 потоков будет ли работать у остальных интернет?

В настоящее время Qos не может делить автоматом per-IP трафик, только если выделить отдельные очереди для избранных. В 2.0 обещали новый Qos. Можно также в правилах файрвола выставить количество подключений per-ip/per-sec для ограничения количества потоков.

bbs

LAN

WAN

Ping from firewall

Ping to firewall

Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?

bbs

Кроме гуевых установок файрвола есть куча служебных. Сквидовский прозрачный режим имеет приоритет над гуевыми правилами. Используйте настройки сквида для ограничения доступа. Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.

Можно подробнее о правилах фаервола и ограничении доступа в сквиде.

Например есть задача:
лан:192.168.10.1
ван:192.168.1.1

Для лан дать интернет без ограничений привилегированным пользователям (192.168.10.10-192.168.10.20) Никаких паролей и прочих неудобств.

Для лан дать интернет с ограничениями(контроль закачек, адресов и пр…) адреса (192.168.10.21, 22, 31, 42) к примеру.
Тоже желательно никаких паролей.

Для лан дать интернет с ограничениями ..... адреса 192.168.10.100, 102, 105  С паролями.

Спасибо.

dvserg

@bbs:

Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?

Нет, если не включена опция
System: Advanced functions > Disable webGUI anti-lockout rule
–--
По поводу сквида
192.168.10.10-192.168.10.20 - Proxy server: Access control > Unrestricted IPs
192.168.10.21, 22, 31, 42 - Proxy server: Access control > Allowed subnets целиком подсеть или попробовать CIDR типа 192.168.10.21/32 ...

адреса 192.168.10.100, 102, 105  С паролями 

Смешанный доступ?? не подскажу даже

bbs

Нет, если не включена опция
System: Advanced functions > Disable webGUI anti-lockout rule

ага вот оно :)

Чем Unrestricted IPs отличается от Do not proxy this IP?

Да еще. В фаерволе есть Block и Reject чем они отличаются?

По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.

Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.

Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?
Спасибо.

dvserg

Чем Unrestricted IPs отличается от Do not proxy this IP?

Неограниченные IP и НеПроксироватьЭтиIP
Неограниченные просто качают через прокси без ограничений, а непроксированные - качают мимо прокси. Как вторые соотносятся с правилами файера - нужно проверять.

Да еще. В фаерволе есть Block и Reject чем они отличаются?

Блокировать, Отбросить. В одном случае источнику посылается сообщение что цель не достижима (и источник быстро отрабатывает вариант НеДоступен), а во втором пакет просто уничтожается (источник тупо ждет и отваливает ни с чем по таймауту).

По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.

Да ну .. гемор.

Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?

Примером не обрадую - лучше посмотреть в англоязычной ветке в разделах NAT Firewall Packages. Недавно были выложены где-то и примеры по теме, и изменения гуя для пропуска мимо транспарента отдельных IP.

http://forum.pfsense.org/index.php/topic,6439.0.html
http://forum.pfsense.org/index.php/topic,6169.0.html

bbs

спасибо. Буду дальше читать :)

Пробовал в разрешенных сетях в сквиде задавать

по типу 192.168.10.21/32.

Не получилось. По-умолчанию разрешено всей сети. Можно конечно выкрутится путем запрета конкретных айпи в следущем текстбоксе(запрет айпи), но довольно неудобно. Это при каждом добавлении нового компьютера нужно смотреть есть он там или нет, и главное случайно ничего не забыть.

Решить эту проблему можно путем "по-умолчанию" запрета сквиду всех локальных сетей. А потом только разрешать необходимые или масками или по айпи. Но для этого я так понимаю нужно делать какойто хак в конфиг сквида. Который, я так понимаю уничтожиться при запуске гуя.

:-\

dvserg

Отключить в сквиде Аллой на интерфейсе(1 страница) и задать на Access странице явно? Под себя можно изменить гуй сквида /usr/local/pkg/squid.inc

volag

@bbs:

Ping to firewall

Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?

Может я и поздно на этот вопрос(не нашел я вроде ответа).

У тебя запрещен TCP, а пинги по-моему относится к ICMP.
Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговать;)

bbs

После рабочей недели возвращаюсь опять к тестам.

Может я и поздно на этот вопрос(не нашел я вроде ответа).

У тебя запрещен TCP, а пинги по-моему относится к ICMP.
Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговатьWink

Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса  подсказал уважаемый dvserg

System: Advanced functions > Disable webGUI anti-lockout rule

ДА действительно тогда со стороны локалки заблокировано все(на самом деле проверял только пинг). Правда меня смущает следующий факт. После проведенных манипуляций пинги с local в wan не идут, а с wan в local все прекрасно пингуется. Причем пинг проходит не только к шлюзу, а й внутрь сети (т. е. я могу пропинговать комп в локалке из wan интерфейса при запрещающем правиле - см. скрин WAN).

Мож опять гдето чегото еще не дочитал. Но странно это. Хотя может это особенности поведения дистрибутива в виртуальной машине. НО сильно не хочется пустить это дело "в работу", "спать спокойно" даже не подозревая о том что со стороны провайдера твоя сеть видна.

Что мне не нравиться пока в этом дистрибутиве так это "скрытые" настойки-правила(их не видно в гуи), которые могут быть внесены в фаервол без ведома пользователя. Например при использовании сквида, пакета imspector мож еще каких но этих точно.

Хотя в pfsense есть и несомненные достоинства.

dvserg

Все видно в /tmp/rules.debug

fox

отключите галочку nat и рулите все правилами.

vvcoder

@bbs:

1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

Потому что ты запретил только TCP
ping - не по TCP

bbs

@vvcoder:

@bbs:

1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

Потому что ты запретил только TCP
ping - не по TCP

:D

Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса  подсказал уважаемый dvserg

Quote
System: Advanced functions > Disable webGUI anti-lockout rule

greek

Так и не понял как решили проблему пингов с wan.

Я создал правило на WAN запрещающее:

ICMP  *  *  WAN address  *  *      block_ping

Причем ICMP(any), а пинги все равно идут.

Поставил логировать это правило - в логах пусто.

greek

Вылечилось перезагрузкой.

Похоже дело обстоит так: если пинги при запуске разрешены, то их запрет заработает только после ребута.
Если пинги запрещены - разрешение пингов заработает сразу.

Для уточнения нужны еще эксперементы (например при выключенном правиле при запуске системы с последующим включением этого правила). Но сейчас я спать.