Firewall rules

tudin

Ничего из легального :)
А вообще говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

dvserg

@tudin:

Ничего из легального :)
А вообше говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

По VPN ?

tudin

@dvserg:

@tudin:

По VPN ?

Ага - OpenVPN

dvserg

@dvserg:

@tudin:

По VPN ?

Ага - OpenVPN

А точки с одним/двумя компами есть? Как там сделано? Софтовый винВПН ?

tudin

Прошу прощения за то что долго не отвечал.
У меня односторонний канал, т.е клиенты openVPN (все машины на ОС Windows, есть по несколько ПК ч-з NAT)  могут видеть компьютеры локальной сети за фаерволом (pfsense), а я с центрального офиса могу заходить на машины клиентов на которых установлен OpenVPN и дальше могу видеть машины пользуясь внутренними локальными адресами. Все машины клиентов OpenVPN или имеют белый IP или в пределах локалки провайдера. Для текущих задач схема приемлемая. Удаленный офис находится в другом городе за … Короче, очень далеко. Пока работаю в пилотном режиме (нарабатываю статистику проблем и отказов pfsense), но думаю в скором будущем ставить pfsense на другом офисе и поднимать двухсторонний канал. Разворачивал пользуясь ветками нашего форума. Этой http://forum.pfsense.org/index.php/topic,28627.0.html  и этой  http://forum.pfsense.org/index.php/topic,7840.0.html    Если заинтересует могу поделится информацией. У меня сносный перевод последнего поста немного дополненный от себя. Просто пытаюсь понять как  работает openvpn и какие чечетки его можно заставить отплясывать.

Eugene

@tudin:

Кстати в сети есть книга "pfSense: The Definitive Guide" авторы Christopher M. Buechler, Jim Pingle думаю что для вас не новость…

Уже выложили бесплатно? Для меня - новость.

tudin

На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

Eugene

@tudin:

На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

Что такое муветон? -))) чувствую - отстаю я в развитии…

dr.gopher

_Как раз выкладывание пиратских ссылок на платные книги нехороший тон.
По крайней мере в отношении книги о pfSense и к ее авторам.
Люди старались написать бук, и естественно хотят за это получить какую-то оплату.
За разработку прямых гонораров никто не получает.

С этим в личную почту пожалуйста.
dvserg_

tudin

Вот-вот, и я про то же, потому и не раскидываю ссылки.
@Evgeny:

Что такое муветон? -)))

Это жаргонный перефраз слова моветон - фр. mauvais ton — дурной тон

DasTieRR

да-да-да, я бы книжку купил, если бы только обложка была не синяя, а красная.

Eugene

эх, жалко я ссылки не видел… забанил бы мгновенно и навечно, пришлось бы тебе ник менять. Это ж надо додуматься...
Ищите, качайте, но здесь этого мусора чтобы не было.

aleksvolgin

Кстати в сети есть книга

спасибо.

tudin

Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

dvserg

@tudin:

Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

;D Вот так и переписывают историю..

Tim2000

Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

dvserg

@tim2000:

Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

Открыть порты SMTP/POP3

Eugene

@dvserg:

@tim2000:

Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

Открыть порты SMTP/POP3

И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

Tim2000

Че то не открываютца  :D
Вобщем иду в Firewall: Rules: LAN

Почта работает, но соотвецтвенно и инет есть. Убераю правило "Tim to ANY" и нет ни инета ни почты.
Надо чтото еще открыть кроме ПОП3 и СМТП. Открывал ДНС - непомогает.

dvserg

@Evgeny:

И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

Это не про это.. Открыть порты означает в данном случае разрешить юзеру ходить в инет по указанным портам.
Правило будет выглядеть так:

ICMP *******
TCP/UDP * * * DNS * * *
…
TCP 10.10.10.9 * * 25 * SMTP
TCP 10.10.10.9 * * 110 * POP
x  TCP 10.10.10.9 * * * * *