Базовые вопросы по pfSense
-
Добрый день всем!
Установил pfSense, настроил кое что необходимое, но появляются вопросы.- Firewall
-Если правило не существует(например для WAN), то по умолчанию получается так?: Запрещено все, кроме разрешенного.
-Как работает приоритет правил? Можно ли его изменить?
Говорим о pfSense 2.х !
На интерфейсах правило по умолчанию - "запретить все входящие". То есть пакеты исходящие из pfSense все разрешены.
Поэтому все создаваемые правила относятся к пакетам, входящим в pfSense.- IP в локалку будет раздавать DHCP, можно ли будет на основании выданных IP сделать привязку к MAC адресам, чтобы не запиливать их руками(около 40шт)?
Да - DHCP - внизу список
@radiow:- Какой способ выбрать, чтобы на основании IP/MAC резать скорость определенным хостам в локалке?
Squid, Captive Portal, Traffic Shaper на выбор в зависимости от используемых пакетов.
@radiow:- Существует ли сниффер для pfSense? Руководство может затребовать снифать переписку в мессенжерах, почте, данные по HTTP.
Это разные задачи. Мессенжеры - был пакет IMSpector. Почта - см. пакет postfix. HTTP - squid + Lightsquid.
- Firewall
-
Спасибо за ответы!
Объясните пжлст по VPN:
Настроил OpenVPN сервер:
Virtual Network 10.10.10.10/24
Local Network 192.168.1.0/24
Клиенты получают адреса из сети 10.10.10.0/24, как дать им доступ к ресурсам сети 192.168.1.0/24 ? -
1. Настроить правила
2. Прописать в OpenVPN роутинг при необходимости.Тема уже поднималась.
-
Правила добавить в Firewall: Rules: OpenVPN
ап: dvserg всесущий! ;D
-
Там Wizard создал вот такое правило:
-
ну
-
Ну все работает, спасибо))))
-
Подскажите, можноли в PFSENCE 2.0.1 подключится вместо WAN к LAN серверу (раздающему интернет) посредством DNS.
-
Подскажите, можноли в PFSENCE 2.0.1 подключится вместо WAN к LAN серверу (раздающему интернет) посредством DNS.
Эээ.. Попробуйте по другому спросить - может понятнее получится.
-
Спасибо за быстрый ответ, я выразился неправильно, есть сервер раздающий интернет посредством DNS, мне нужно чтобы трафик проходил с него на PFSENSE сервер, просто при настройке он просит ввести WAN интерфейс а мне нужен LAN.
-
Спасибо за быстрый ответ, я выразился неправильно, есть сервер раздающий интернет посредством DNS, мне нужно чтобы трафик проходил с него на PFSENSE сервер, просто при настройке он просит ввести WAN интерфейс а мне нужен LAN.
К сожалению лично я смутно представляю себе такое. В интернете есть подробное описание таких серверов? Для меня DNS - это служба, позволяющая преобразовывать имена в IP адреса. А как с ее помощью интернет раздавать?
-
Друзья, разморочте пожалуйста.
Поднял я OpenVPN с параметрами что писал выше.
Пришел домой, подключаюсь к VPN серверу, получаю от него IP 10.10.10.6/255.255.255.252
Дома сетка 192.168.10.0/24
В офисе 192.168.1.0/24
И не могу получить доступ к ресурсам сети 192.168.1.0 Ни ping, ни браузер не хотят находит сервера внутри корпоративной сетки. Я так понимаю, что если есть правило в Firewall->Rules->OpenVPN(как на скриншоте выше), то pfsense должен без препятствий маршрутизировать мои пакеты из виртуальной сети(10.10.10.0) в локальную сеть офиса(192.168.1.0)? -
Друзья, разморочте пожалуйста.
Поднял я OpenVPN с параметрами что писал выше.
Пришел домой, подключаюсь к VPN серверу, получаю от него IP 10.10.10.6/255.255.255.252
Дома сетка 192.168.10.0/24
В офисе 192.168.1.0/24
И не могу получить доступ к ресурсам сети 192.168.1.0 Ни ping, ни браузер не хотят находит сервера внутри корпоративной сетки. Я так понимаю, что если есть правило в Firewall->Rules->OpenVPN(как на скриншоте выше), то pfsense должен без препятствий маршрутизировать мои пакеты из виртуальной сети(10.10.10.0) в локальную сеть офиса(192.168.1.0)?Тема поднималась - ищите по форуму поиском.
-
Потребовалось переконфигурить OpenVPN сервер. Делал все в точности так же как и первый раз. Теперь при попытке коннекта к серверу VPN клиентом, говорит:
read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Все правила были созданы Wizard'ом как и в прошлый раз. Если разрешаю на WAN ICMP траффик, то ping работает, следовательно правила отрабатывают нормально. В чем дело? -
Решил. Увеличил Concurrent connections с 5 до 10
Через 10 мин:
Нет. Один раз подключился и опять не хочет((
Через 5 мин:
Теперь опять подключается. Не понятно что происходит.
Вобщем сейчас хоть и подключается, но роутинга во внутреннюю сетку нет. Причем после того как происходит подключение и VPN сервер дает мне адрес из вирт сети 10.10.10.0 не открываются сайты в браузере но мессенжеры в онлайне. Похоже DNS -
Приветствую всех. Скажите, каким инструментом в PFSense 2 можно отслеживать кол-во потребленного трафика по каждому хосту, а конкретней сколько было передано/получено трафика с LAN на WAN и наоборот?
IP адреса раздает DHCP.И еще такой вопрос:
В PFtop вижу следующее:PR D SRC DEST STATE AGE EXP PKTS BYTES
tcp I 192.168.1.113:1029 88.212.207.7:8000 4:4 9023 86400 148K 143M
tcp O 192.168.1.113:1029 88.212.207.7:8000 4:4 9023 86400 148K 143MТ.е. клиент в локальной сети через порт 1029 ломится на 88.212.207.7:8000
Создаю правило в LAN на запрет всего по 1029 и 8000 порту, а трафик все равно идет оттуда. Правильно ли я создаю правило?
Спасибо! -
Приветствую всех. Скажите, каким инструментом в PFSense 2 можно отслеживать кол-во потребленного трафика по каждому хосту, а конкретней сколько было передано/получено трафика с LAN на WAN и наоборот?
IP адреса раздает DHCP.И еще такой вопрос:
В PFtop вижу следующее:PR D SRC DEST STATE AGE EXP PKTS BYTES
tcp I 192.168.1.113:1029 88.212.207.7:8000 4:4 9023 86400 148K 143M
tcp O 192.168.1.113:1029 88.212.207.7:8000 4:4 9023 86400 148K 143MТ.е. клиент в локальной сети через порт 1029 ломится на 88.212.207.7:8000
Создаю правило в LAN на запрет всего по 1029 и 8000 порту, а трафик все равно идет оттуда. Правильно ли я создаю правило?
Спасибо!Надо блокировать только порт назначения, т.е. 8000, исходящий порт любой. Vnstat показывает трафик. По каждому хосту тема поднималась, ищите тему подсчёт трафика, ipcad…
-
Да так и сделал. А ничего, что у меня внизу под всеми правилами есть правило которое разрешает вообще ВСЕ для LAN? Т.е. одни звездочки. Но повторяю оно в самом низу.
-
Скажите, а надо ли после установки IMspector добавлять такое правило:
ICQ/AIM: iptables -t nat -A PREROUTING -p tcp –destination-port 5190 -j REDIRECT --to-ports 16667
Как это сделать в PFSense? -
Правило должно автоматом создаваться пакетом. Но увидеть его можно только в rules.debug
