Помогите разобраться!

bloodninja

Стоит пфсенс за циской , к нему подключена локальная сеть.
Как сделать правила фильтрации трафика и на каком интрефейсе?
Правило такое:
1. Запретить все.
2. Разрешить все избранным.
3. Разрешить определенные реусурсы типа mail.ru , ukr.net всем остальным.
4. Запретить торрент.

Если может кто выложить свои настройки , а именно на каком интрефейсе , ван или лан , с примером по правилам которые указаны выше. И порядок расположения их. Буду признателен!

И обьясните пожалуйста , что в понимании ПФсенс есть алиас. Хочу запретить сайт , пишу сайт.ру , говорит ошибка не является ип или алиасом.

dvserg

Алиас это псевдоним. Тип алиаса должен использоваться такой-же, что и данные - порт/порт, IP/IP, …

Для блокирования сайтов используйте в правилах их IP адреса.

bloodninja

Дайте пару примеров , хотя бы скрин а напишите что какое правило делает ..
Очень нужно.
Зарпетить все знаю как , разрешить все некоторым , разрешить всем майл.ру , запретить торрент..

sleat

@bloodninja:

Дайте пару примеров , хотя бы скрин а напишите что какое правило делает ..
Очень нужно.
Зарпетить все знаю как , разрешить все некоторым , разрешить всем майл.ру , запретить торрент..

Так что именно не понятно? по умолчанию запрещаешь, а потом руками разрешает, что куда кому-все…
Можно поставить прокси и там рулить по названием доменов и сайтов -запрещать или разрешать. А в правилах ИМХО по ip только указывать

bloodninja

Я запрещаю все , нижнее правило , потом выше разрешаю все опр ип , но инета нет.
И что самое душетрепечущее , как запретить всем торрент?

dvserg

@bloodninja:

Я запрещаю все , нижнее правило , потом выше разрешаю все опр ип , но инета нет.
И что самое душетрепечущее , как запретить всем торрент?

Покажите что нибудь из своего.

goliy

Запретить всем торрент - это закрыть все порты, кроме точно используемых. Таким образом ты не Все открываешь опр. ипам, а открываешь То(те порты), что Нужно.
торренты=неопределенные upd порты

dr.gopher

@goliy:

Запретить всем торрент - это закрыть все порты, кроме точно используемых. Таким образом ты не Все открываешь опр. ипам, а открываешь То(те порты), что Нужно.
торренты=неопределенные upd порты

Спрошу может немножко не в тему. А инструмент блокировки по сигнатуре есть в ПФ?

Пример:1
P2P filesharing / publishing tool - http://www.bittorrent.com

Сигнатура:
^(\x13bittorrent protocol|azver\x01$|get /scrape?info_hash=get /announce?info_hash=|get /client/bitcomet/|GET /data?fid=)|d1:ad2:id20:|\x08'7P)[RP]

Примир2:
P2P filesharing

Сигнатура:
^(.[\x02\x06][!-~]+ [!-~]+ [0-9][0-9]?[0-9]?[0-9]?[0-9]? "[\x09-\x0d -~]+" ([0-9]|10)|1(send|get)[!-~]+ "[\x09-\x0d -~]+")

dvserg

2 dr.gopher
См L2 Layer. Свои описания можно добавить из консоли.

bloodninja

Это все замечательно, но не мог бы все таки ктото выложить скрин своих настроек с подписями , это правило делает то . а это вот то.
И я так понял в пфсенс нет групп для группового правила , что бы например опр юзверей собрать в группу и сделать 1 правило?
Проблема с торрентом не решена, по портам не вариант как я посмотрю.

Мануал по созданию правил есть у кого?
Никак не пойму , если нижнее правила блокирует все , то как мне тогда сделать правило которое будет разрешать все , кроме тех на кого действуе опр правило?

dvserg

@bloodninja:

Это все замечательно, но не мог бы все таки ктото выложить скрин своих настроек с подписями , это правило делает то . а это вот то.
И я так понял в пфсенс нет групп для группового правила , что бы например опр юзверей собрать в группу и сделать 1 правило?
Проблема с торрентом не решена, по портам не вариант как я посмотрю.

Мануал по созданию правил есть у кого?
Никак не пойму , если нижнее правила блокирует все , то как мне тогда сделать правило которое будет разрешать все , кроме тех на кого действуе опр правило?

Групповое правило делается с помощью Firewall -> ALIAS Тип Alias = Hosts или Networks
В поле Source  правила вносится имя этого ALIAS.

Все правила на интерфейсах применяются в порядке их расположения сверху вниз. Работает первое подходящее правило.
По умолчанию в PFSense все запрещено (имеется такое общее правило).

В вашем случае:
1. Разрешить ICMP
1. Разрешить DNS
2. Разрешить все избранным с использованием ALIAS в Source.
3. Разрешить определенные реусурсы типа mail.ru , ukr.net всем остальным  - Используйте Alias в Destinations.

Ресурсы mail.ru , ukr.net задайте по их группам IP адресов.

dr.gopher

@bloodninja:

Это все замечательно, но не мог бы все таки ктото выложить скрин своих настроек с подписями , это правило делает то . а это вот то.

Похоже вы не поняли. Нет единого инструмента для решения ваших задач!
Вам надо изучить как минимум черыре инструмента.
Брендмауер, Сквид, Сквид Гуард, Шейпер
Соответственно для вашего случая, никто не будет делать скрины всех служб. :-(

@bloodninja:

Проблема с торрентом не решена, по портам не вариант как я посмотрю.

Имхо шейпером можно задушить торренты до мизерной скорости.
Либо L2 Layer

@bloodninja:

Мануал по созданию правил есть у кого?
Никак не пойму , если нижнее правила блокирует все , то как мне тогда сделать правило которое будет разрешать все , кроме тех на кого действуе опр правило?

Надеюсь это вопрос по брендмауеру.
Создавайте правила разрешающие локльный ай.пи. порт. протокол. куда разрешено.

http://shop.nativepc.ru/content/41-pfsense-6
Если поможет

QWERTik

Не забывайте, что торренты ещё и открывают кучу коннектов tcp и как правило ещё больше udp (для примера - торрент по умолчанию-200, медиагет-500, но никто не мешает юзерам "накрутить" ещё больше :) ). Так что, надобно ещё и коннекты резать.