Вопрос по доступу….

dvserg

тогда смысл во всём этом???
если аутентификация включена а в браузере непрописано…...
должен наверно доступ в инет неработать........

в интернет сейчас могут залесть все кто подключён к сети.
скажите, как ограничить доступ к интернету

пытался сделать так:
1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.

Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?

dimx

@dvserg:

@dimx:

тогда смысл во всём этом???
если аутентификация включена а в браузере непрописано…...
должен наверно доступ в инет неработать........

в интернет сейчас могут залесть все кто подключён к сети.
скажите, как ограничить доступ к интернету

пытался сделать так:
1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.

Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?

тогда такой вопрос… как хапретить доступ из локалки наружу???
вот скрины...http://rghost.ru/3293777
ещё что сделано... включаю аутентификацию лакальную и добовляю юзера..... ничего не меняется....

Vtoroi

у юзеров уберите шлюз или в pfsense запретите/разрешите нужные порты, в браузере пропишите прокси… тогда будет аутентификация...

tudin

Простая схема:
1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses

dimx

@tudin:

Простая схема:
1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses

по порядку:
1. в первую очередь сделал
2. да это работает

Но… опять про своё...
ситуация такая.
есть 18 машин.
5 из них должно выходить в интернет с помощью каптив портал, ну или через аутентификацию на прокси (если разберусь),
у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

помогите разобратся... уже мозг кипит...

dvserg

@dimx:

у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

Почта какая? http/pop(imap) ?

dimx

@dvserg:

@dimx:

у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

Почта какая? http/pop(imap) ?

smtp
pop3
imap

port.png_thumb

dvserg

Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

dimx

@dvserg:

Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

нет, фильтрация обязательна…

dvserg

@dimx:

@dvserg:

Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

нет, фильтрация обязательна…

Тогда настраивать все в proxy.

Вариант 1 доступ по IP компа.
В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.

Вариант 2 доступ по паролю пользователя
В Auth settings выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.

Captive Portal сюда мешать не стоит.

dimx

@dvserg:

@dimx:

@dvserg:

Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

нет, фильтрация обязательна…

Тогда настраивать все в proxy.

Вариант 1 доступ по IP компа.
В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.

Вариант 2 доступ по паролю пользователя
В Auth settings выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.

Captive Portal сюда мешать не стоит.

А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?

dvserg

@dimx:

А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?

Протоколы pop/smtp/imap не зависят от прокси и управляются с помощью правил файрвола. Прокси управляет только HTTP(s).
Transparent Proxy включен в обоих вариантах. Подразумевается, что мы не хотим настраивать клиентские браузеры на наш прокси - перенаправление должно идти автоматом.

dimx

следующий вопрос такой, как ограничеть одно, одним ip и разрешить другое другим. (грубо сказал конечно)

deutsche

Firewall - Rules.
Source - IP лишенца.