Помогите разобраться!
-
Дайте пару примеров , хотя бы скрин а напишите что какое правило делает ..
Очень нужно.
Зарпетить все знаю как , разрешить все некоторым , разрешить всем майл.ру , запретить торрент..Так что именно не понятно? по умолчанию запрещаешь, а потом руками разрешает, что куда кому-все…
Можно поставить прокси и там рулить по названием доменов и сайтов -запрещать или разрешать. А в правилах ИМХО по ip только указывать -
Я запрещаю все , нижнее правило , потом выше разрешаю все опр ип , но инета нет.
И что самое душетрепечущее , как запретить всем торрент? -
Я запрещаю все , нижнее правило , потом выше разрешаю все опр ип , но инета нет.
И что самое душетрепечущее , как запретить всем торрент?Покажите что нибудь из своего.
-
Запретить всем торрент - это закрыть все порты, кроме точно используемых. Таким образом ты не Все открываешь опр. ипам, а открываешь То(те порты), что Нужно.
торренты=неопределенные upd порты -
Запретить всем торрент - это закрыть все порты, кроме точно используемых. Таким образом ты не Все открываешь опр. ипам, а открываешь То(те порты), что Нужно.
торренты=неопределенные upd портыСпрошу может немножко не в тему. А инструмент блокировки по сигнатуре есть в ПФ?
Пример:1
P2P filesharing / publishing tool - http://www.bittorrent.comСигнатура:
^(\x13bittorrent protocol|azver\x01$|get /scrape?info_hash=get /announce?info_hash=|get /client/bitcomet/|GET /data?fid=)|d1:ad2:id20:|\x08'7P)[RP]Примир2:
P2P filesharingСигнатура:
^(.[\x02\x06][!-~]+ [!-~]+ [0-9][0-9]?[0-9]?[0-9]?[0-9]? "[\x09-\x0d -~]+" ([0-9]|10)|1(send|get)[!-~]+ "[\x09-\x0d -~]+") -
2 dr.gopher
См L2 Layer. Свои описания можно добавить из консоли. -
Это все замечательно, но не мог бы все таки ктото выложить скрин своих настроек с подписями , это правило делает то . а это вот то.
И я так понял в пфсенс нет групп для группового правила , что бы например опр юзверей собрать в группу и сделать 1 правило?
Проблема с торрентом не решена, по портам не вариант как я посмотрю.Мануал по созданию правил есть у кого?
Никак не пойму , если нижнее правила блокирует все , то как мне тогда сделать правило которое будет разрешать все , кроме тех на кого действуе опр правило? -
Это все замечательно, но не мог бы все таки ктото выложить скрин своих настроек с подписями , это правило делает то . а это вот то.
И я так понял в пфсенс нет групп для группового правила , что бы например опр юзверей собрать в группу и сделать 1 правило?
Проблема с торрентом не решена, по портам не вариант как я посмотрю.Мануал по созданию правил есть у кого?
Никак не пойму , если нижнее правила блокирует все , то как мне тогда сделать правило которое будет разрешать все , кроме тех на кого действуе опр правило?Групповое правило делается с помощью Firewall -> ALIAS Тип Alias = Hosts или Networks
В поле Source правила вносится имя этого ALIAS.Все правила на интерфейсах применяются в порядке их расположения сверху вниз. Работает первое подходящее правило.
По умолчанию в PFSense все запрещено (имеется такое общее правило).В вашем случае:
1. Разрешить ICMP
1. Разрешить DNS
2. Разрешить все избранным с использованием ALIAS в Source.
3. Разрешить определенные реусурсы типа mail.ru , ukr.net всем остальным - Используйте Alias в Destinations.Ресурсы mail.ru , ukr.net задайте по их группам IP адресов.
-
Это все замечательно, но не мог бы все таки ктото выложить скрин своих настроек с подписями , это правило делает то . а это вот то.
Похоже вы не поняли. Нет единого инструмента для решения ваших задач!
Вам надо изучить как минимум черыре инструмента.
Брендмауер, Сквид, Сквид Гуард, Шейпер
Соответственно для вашего случая, никто не будет делать скрины всех служб. :-(Проблема с торрентом не решена, по портам не вариант как я посмотрю.
Имхо шейпером можно задушить торренты до мизерной скорости.
Либо L2 LayerМануал по созданию правил есть у кого?
Никак не пойму , если нижнее правила блокирует все , то как мне тогда сделать правило которое будет разрешать все , кроме тех на кого действуе опр правило?Надеюсь это вопрос по брендмауеру.
Создавайте правила разрешающие локльный ай.пи. порт. протокол. куда разрешено.http://shop.nativepc.ru/content/41-pfsense-6
Если поможет -
Не забывайте, что торренты ещё и открывают кучу коннектов tcp и как правило ещё больше udp (для примера - торрент по умолчанию-200, медиагет-500, но никто не мешает юзерам "накрутить" ещё больше :) ). Так что, надобно ещё и коннекты резать.