Правила фаервола

dvserg

Чем Unrestricted IPs отличается от Do not proxy this IP?

Неограниченные IP и НеПроксироватьЭтиIP
Неограниченные просто качают через прокси без ограничений, а непроксированные - качают мимо прокси. Как вторые соотносятся с правилами файера - нужно проверять.

Да еще. В фаерволе есть Block и Reject чем они отличаются?

Блокировать, Отбросить. В одном случае источнику посылается сообщение что цель не достижима (и источник быстро отрабатывает вариант НеДоступен), а во втором пакет просто уничтожается (источник тупо ждет и отваливает ни с чем по таймауту).

По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.

Да ну .. гемор.

Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?

Примером не обрадую - лучше посмотреть в англоязычной ветке в разделах NAT Firewall Packages. Недавно были выложены где-то и примеры по теме, и изменения гуя для пропуска мимо транспарента отдельных IP.

http://forum.pfsense.org/index.php/topic,6439.0.html
http://forum.pfsense.org/index.php/topic,6169.0.html

bbs

спасибо. Буду дальше читать :)

Пробовал в разрешенных сетях в сквиде задавать

по типу 192.168.10.21/32.

Не получилось. По-умолчанию разрешено всей сети. Можно конечно выкрутится путем запрета конкретных айпи в следущем текстбоксе(запрет айпи), но довольно неудобно. Это при каждом добавлении нового компьютера нужно смотреть есть он там или нет, и главное случайно ничего не забыть.

Решить эту проблему можно путем "по-умолчанию" запрета сквиду всех локальных сетей. А потом только разрешать необходимые или масками или по айпи. Но для этого я так понимаю нужно делать какойто хак в конфиг сквида. Который, я так понимаю уничтожиться при запуске гуя.

:-\

dvserg

Отключить в сквиде Аллой на интерфейсе(1 страница) и задать на Access странице явно? Под себя можно изменить гуй сквида /usr/local/pkg/squid.inc

volag

@bbs:

Ping to firewall

Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?

Может я и поздно на этот вопрос(не нашел я вроде ответа).

У тебя запрещен TCP, а пинги по-моему относится к ICMP.
Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговать;)

bbs

После рабочей недели возвращаюсь опять к тестам.

Может я и поздно на этот вопрос(не нашел я вроде ответа).

У тебя запрещен TCP, а пинги по-моему относится к ICMP.
Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговатьWink

Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса  подсказал уважаемый dvserg

System: Advanced functions > Disable webGUI anti-lockout rule

ДА действительно тогда со стороны локалки заблокировано все(на самом деле проверял только пинг). Правда меня смущает следующий факт. После проведенных манипуляций пинги с local в wan не идут, а с wan в local все прекрасно пингуется. Причем пинг проходит не только к шлюзу, а й внутрь сети (т. е. я могу пропинговать комп в локалке из wan интерфейса при запрещающем правиле - см. скрин WAN).

Мож опять гдето чегото еще не дочитал. Но странно это. Хотя может это особенности поведения дистрибутива в виртуальной машине. НО сильно не хочется пустить это дело "в работу", "спать спокойно" даже не подозревая о том что со стороны провайдера твоя сеть видна.

Что мне не нравиться пока в этом дистрибутиве так это "скрытые" настойки-правила(их не видно в гуи), которые могут быть внесены в фаервол без ведома пользователя. Например при использовании сквида, пакета imspector мож еще каких но этих точно.

Хотя в pfsense есть и несомненные достоинства.

dvserg

Все видно в /tmp/rules.debug

fox

отключите галочку nat и рулите все правилами.

vvcoder

@bbs:

1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

Потому что ты запретил только TCP
ping - не по TCP

bbs

@vvcoder:

@bbs:

1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

Потому что ты запретил только TCP
ping - не по TCP

:D

Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса  подсказал уважаемый dvserg

Quote
System: Advanced functions > Disable webGUI anti-lockout rule

greek

Так и не понял как решили проблему пингов с wan.

Я создал правило на WAN запрещающее:

ICMP  *  *  WAN address  *  *      block_ping

Причем ICMP(any), а пинги все равно идут.

Поставил логировать это правило - в логах пусто.

greek

Вылечилось перезагрузкой.

Похоже дело обстоит так: если пинги при запуске разрешены, то их запрет заработает только после ребута.
Если пинги запрещены - разрешение пингов заработает сразу.

Для уточнения нужны еще эксперементы (например при выключенном правиле при запуске системы с последующим включением этого правила). Но сейчас я спать.