Вопрос по доступу….
-
у юзеров уберите шлюз или в pfsense запретите/разрешите нужные порты, в браузере пропишите прокси… тогда будет аутентификация...
-
Простая схема:
1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses -
Простая схема:
1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addressesпо порядку:
1. в первую очередь сделал
2. да это работаетНо… опять про своё...
ситуация такая.
есть 18 машин.
5 из них должно выходить в интернет с помощью каптив портал, ну или через аутентификацию на прокси (если разберусь),
у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.comпомогите разобратся... уже мозг кипит...
-
у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com
Почта какая? http/pop(imap) ?
-
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
нет, фильтрация обязательна…
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
нет, фильтрация обязательна…
Тогда настраивать все в proxy.
Вариант 1 доступ по IP компа.
В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.Вариант 2 доступ по паролю пользователя
В Auth settings выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.Captive Portal сюда мешать не стоит.
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
нет, фильтрация обязательна…
Тогда настраивать все в proxy.
Вариант 1 доступ по IP компа.
В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.Вариант 2 доступ по паролю пользователя
В Auth settings выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.Captive Portal сюда мешать не стоит.
А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?
-
А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?
Протоколы pop/smtp/imap не зависят от прокси и управляются с помощью правил файрвола. Прокси управляет только HTTP(s).
Transparent Proxy включен в обоих вариантах. Подразумевается, что мы не хотим настраивать клиентские браузеры на наш прокси - перенаправление должно идти автоматом. -
следующий вопрос такой, как ограничеть одно, одним ip и разрешить другое другим. (грубо сказал конечно)
-
Firewall - Rules.
Source - IP лишенца.
