Правила фаервола
-
Доброго времени суток. С наступающими и прошедшими праздниками. :)
До недавнего времени пользовались на работе керио. В принципе все устраивало, за исключением отсутствия шейпинга для каждого юзера. Но это решали с помощью дополнительного софта.
Поскольку сейчас переходим на лицензионный софт, постепенно отказываемся от некоторых "виндовых" программ.
Препробовав некоторые программные решения (например ipcop, smootwall, endian, zeroshell и д.р. в том числе настройка шлюза на freebsd с нуля + установка сквида, sams и др. софта.) решили остановиться пока на pfsense.
При тестировании на виртуальной машине и изучении доступных "мануалов" возникли вопросы.
1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?
2. Ставим пакет сквид. включаем прозрачный режим. В фаерволе запрещаем все - инет всеравно есть. Почему?
3. Используем сквид в прозрачном режиме. Все работает кроме всяких асек скайпов и т д. Как их "пустить" через прозрачный прокси?
4. Как часть адресов пустить через нат, а часть через сквид? Через нат понятно(в фаерволе создаем правило для нужных адресов или алиасов). Непонятно с сквидом. Вроде как по-умолчанию он раздает интернет для всей локальной сети. Т.е. работатет по принципу можно всем кроме… Возможно ли наоборот? Никому нельзя кроме...
5. Насколько я понял с подсчетом трафика в pfsense пока "грустно". Лайтсквид не видит ничего кроме хттп. Нтоп - вроде более детальная штука но до первой перезагрузки. Кто чем пользуется?
6. Насколько хорошо работают приоритеты трафика(QOS)? Если несколько человек включат "качалки" в, например, 10 потоков будет ли работать у остальных интернет?
Буду очень благодарен если ктото выложит свои правила фаервола и ната чтобы можно было понять общий принцип.
Спасибо. С ув. Богдан
-
1\. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?
Подробнее можно ?
2\. Ставим пакет сквид. включаем прозрачный режим. В фаерволе запрещаем все - инет всеравно есть. Почему?
Кроме гуевых установок файрвола есть куча служебных. Сквидовский прозрачный режим имеет приоритет над гуевыми правилами. Используйте настройки сквида для ограничения доступа. Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.
3\. Используем сквид в прозрачном режиме. Все работает кроме всяких асек скайпов и т д. Как их "пустить" через прозрачный прокси?
Сквид - прокси Web трафика. Всякие аськи и скайпы - другие виды траффика
Для Аси посмотрите imspector4\. Как часть адресов пустить через нат, а часть через сквид? Через нат понятно(в фаерволе создаем правило для нужных адресов или алиасов). Непонятно с сквидом. Вроде как по-умолчанию он раздает интернет для всей локальной сети. Т.е. работатет по принципу можно всем кроме... Возможно ли наоборот? Никому нельзя кроме...
Видимо прозрачный режим? Или как?
5\. Насколько я понял с подсчетом трафика в pfsense пока "грустно". Лайтсквид не видит ничего кроме хттп. Нтоп - вроде более детальная штука но до первой перезагрузки. Кто чем пользуется?
Пока видимо никому не нужно было. Подсчет трафика может означать от простого счетчика до биллинга - широкое поле деятельности.
6\. Насколько хорошо работают приоритеты трафика(QOS)? Если несколько человек включат "качалки" в, например, 10 потоков будет ли работать у остальных интернет?
В настоящее время Qos не может делить автоматом per-IP трафик, только если выделить отдельные очереди для избранных. В 2.0 обещали новый Qos. Можно также в правилах файрвола выставить количество подключений per-ip/per-sec для ограничения количества потоков.
-
-
Кроме гуевых установок файрвола есть куча служебных. Сквидовский прозрачный режим имеет приоритет над гуевыми правилами. Используйте настройки сквида для ограничения доступа. Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.
Можно подробнее о правилах фаервола и ограничении доступа в сквиде.
Например есть задача:
лан:192.168.10.1
ван:192.168.1.1Для лан дать интернет без ограничений привилегированным пользователям (192.168.10.10-192.168.10.20) Никаких паролей и прочих неудобств.
Для лан дать интернет с ограничениями(контроль закачек, адресов и пр…) адреса (192.168.10.21, 22, 31, 42) к примеру.
Тоже желательно никаких паролей.Для лан дать интернет с ограничениями ..... адреса 192.168.10.100, 102, 105 С паролями.
Спасибо.
-
@bbs:
Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?
Нет, если не включена опция
System: Advanced functions > Disable webGUI anti-lockout rule
–--
По поводу сквида
192.168.10.10-192.168.10.20 - Proxy server: Access control > Unrestricted IPs
192.168.10.21, 22, 31, 42 - Proxy server: Access control > Allowed subnets целиком подсеть или попробовать CIDR типа 192.168.10.21/32 ...адреса 192.168.10.100, 102, 105 С паролями
Смешанный доступ?? не подскажу даже
-
Нет, если не включена опция
System: Advanced functions > Disable webGUI anti-lockout ruleага вот оно :)
Чем Unrestricted IPs отличается от Do not proxy this IP?
Да еще. В фаерволе есть Block и Reject чем они отличаются?
По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.
Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.
Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?
Спасибо. -
Чем Unrestricted IPs отличается от Do not proxy this IP?
Неограниченные IP и НеПроксироватьЭтиIP
Неограниченные просто качают через прокси без ограничений, а непроксированные - качают мимо прокси. Как вторые соотносятся с правилами файера - нужно проверять.Да еще. В фаерволе есть Block и Reject чем они отличаются?
Блокировать, Отбросить. В одном случае источнику посылается сообщение что цель не достижима (и источник быстро отрабатывает вариант НеДоступен), а во втором пакет просто уничтожается (источник тупо ждет и отваливает ни с чем по таймауту).
По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.
Да ну .. гемор.
Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?
Примером не обрадую - лучше посмотреть в англоязычной ветке в разделах NAT Firewall Packages. Недавно были выложены где-то и примеры по теме, и изменения гуя для пропуска мимо транспарента отдельных IP.
http://forum.pfsense.org/index.php/topic,6439.0.html
http://forum.pfsense.org/index.php/topic,6169.0.html -
спасибо. Буду дальше читать :)
Пробовал в разрешенных сетях в сквиде задавать
по типу 192.168.10.21/32.
Не получилось. По-умолчанию разрешено всей сети. Можно конечно выкрутится путем запрета конкретных айпи в следущем текстбоксе(запрет айпи), но довольно неудобно. Это при каждом добавлении нового компьютера нужно смотреть есть он там или нет, и главное случайно ничего не забыть.
Решить эту проблему можно путем "по-умолчанию" запрета сквиду всех локальных сетей. А потом только разрешать необходимые или масками или по айпи. Но для этого я так понимаю нужно делать какойто хак в конфиг сквида. Который, я так понимаю уничтожиться при запуске гуя.
:-\
-
Отключить в сквиде Аллой на интерфейсе(1 страница) и задать на Access странице явно? Под себя можно изменить гуй сквида /usr/local/pkg/squid.inc
-
@bbs:
Ping to firewall
Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?
Может я и поздно на этот вопрос(не нашел я вроде ответа).
У тебя запрещен TCP, а пинги по-моему относится к ICMP.
Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговать;) -
После рабочей недели возвращаюсь опять к тестам.
Может я и поздно на этот вопрос(не нашел я вроде ответа).
У тебя запрещен TCP, а пинги по-моему относится к ICMP.
Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговатьWinkСпасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса подсказал уважаемый dvserg
System: Advanced functions > Disable webGUI anti-lockout rule
ДА действительно тогда со стороны локалки заблокировано все(на самом деле проверял только пинг). Правда меня смущает следующий факт. После проведенных манипуляций пинги с local в wan не идут, а с wan в local все прекрасно пингуется. Причем пинг проходит не только к шлюзу, а й внутрь сети (т. е. я могу пропинговать комп в локалке из wan интерфейса при запрещающем правиле - см. скрин WAN).
Мож опять гдето чегото еще не дочитал. Но странно это. Хотя может это особенности поведения дистрибутива в виртуальной машине. НО сильно не хочется пустить это дело "в работу", "спать спокойно" даже не подозревая о том что со стороны провайдера твоя сеть видна.
Что мне не нравиться пока в этом дистрибутиве так это "скрытые" настойки-правила(их не видно в гуи), которые могут быть внесены в фаервол без ведома пользователя. Например при использовании сквида, пакета imspector мож еще каких но этих точно.
Хотя в pfsense есть и несомненные достоинства.
-
Все видно в /tmp/rules.debug
-
отключите галочку nat и рулите все правилами.
-
@bbs:
1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?
Потому что ты запретил только TCP
ping - не по TCP -
@bbs:
1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?
Потому что ты запретил только TCP
ping - не по TCP:D
Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса подсказал уважаемый dvserg
Quote
System: Advanced functions > Disable webGUI anti-lockout rule -
Так и не понял как решили проблему пингов с wan.
Я создал правило на WAN запрещающее:
ICMP * * WAN address * * block_ping
Причем ICMP(any), а пинги все равно идут.
Поставил логировать это правило - в логах пусто.
-
Вылечилось перезагрузкой.
Похоже дело обстоит так: если пинги при запуске разрешены, то их запрет заработает только после ребута.
Если пинги запрещены - разрешение пингов заработает сразу.Для уточнения нужны еще эксперементы (например при выключенном правиле при запуске системы с последующим включением этого правила). Но сейчас я спать.