ThunderBird не пашет
-
Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо).
1. Открыть порты допустим 3500-65000 TCP/UDP
2. Сделайте портфорвард на машинку с торрент клиентом.Торренты сидят на сайте http://bt.ivnet.ru при попытке перехода на данный сайт получаю вот это:
ОШИБКА
Запрошенный URL не может быть доставлен
Во время доставки URL:
http://bt.ivnet.ru/index.php
Произошла следующая ошибка:
Невозможно определить IP адрес узла bt.ivnet.ru
Сервер адресов ответил:
No DNS records
Это обозначает:
Кэш не в состоянии определить сервер, указанный в URL.
Проверьте правильность написания адреса.
Generated Tue, 31 Jul 2012 15:01:06 GMT by localhost (squid/2.7.STABLE9) -
вот на счет портфорвардинга бы поподробнее, т.к. пока что я в нем ничего не понял.
http://thin.kiev.ua/router-os/50-pfsense/628-all-portforward-pfsense.html
-
про торренты: я пока просто открыл порт 3500-65000 и вроде ошибка в логах писаться перестала. завтра попробую на работе. но как быть с почтой? там тоже с форвардингом надо химичить?
-
1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
Имхо не стоит делать два LAN с вашим уровнем знания PF
Оставьте один LAN, настройте, а уж потом добавите второй, возможно. -
1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
Имхо не стоит делать два LAN с вашим уровнем знания PF
Оставьте один LAN, настройте, а уж потом добавите второй, возможно.дело в том, что я добился доступа в инет с некоторых компов как одной так и другой сетки - это мне и нужно было. поэтому сейчас не имеет смысла в отключении одной из LAN. сейчас осталась шлифовка. настройка пары-тройки прог и можно забыть о прокси вообще.
Опять же, мне нельзя объединять локалки. Они не должны друг друга видеть. -
1. 1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
200.200.100.х. - вообще это не для внутренних сетей. (Это где-то в Бразилии наверное). Почитайте основы - какие IP зарезервированы для внутренних сетей.2. Отключите сквид. Настройте PF сначала без прокси.
3. Ну и желательно скрины настроек посмотреть -
1. 1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
200.200.100.х. - вообще это не для внутренних сетей. (Это где-то в Бразилии наверное). Почитайте основы - какие IP зарезервированы для внутренних сетей.Я извиняюсь, но какая разница какие IP я использую внутри сети? Локалка работает. Выход в инет есть. В чем может быть проблема?
@gr0mW:2. Отключите сквид. Настройте PF сначала без прокси.
Опять же не совсем понятно. Если я отключу прокси, то как я тогда смогу проверить выход клиента в инет? В браузере же нужно будет указывать через какой адрес следует двигать в инет.
@gr0mW:3. Ну и желательно скрины настроек посмотреть
Скрины - не вопрос. Настройки чего интересуют? а то я в одном форуме отправил настройки правил, а с меня спрашивают настройки интерфейсов.
-
Существует RFC1918 — Address Allocation for Private Internet http://tools.ietf.org/html/rfc1918. А адреса 200.200.100.х ДНС определяет как внешние. Для нормальной работы маршрутизаторов необходимо придерживаться установленных правил.
А через веб-интерфейс на почту выход есть?
Squid программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Он не работает с почтовыми протоколами. Делайте или прозрачный режим или настраивайте правила на интерфейсах.
Да и насколько помню ThunderBird не работает через http proxy, а только через SOCKS -
Я так понял, что нат для второй сети он не включал, в инет ходит через прокси в ПФ на сквиде, шлюзы на ПК не прописывал.
Сквид не поддерживает поп и смтп (по крайней мере в стандартной конфигурации ПФ) потому и не работает.Автору - PF умеет пускать в инет и без прокси.
-
DasTieRR:Очень вероятно. Поэтому и хотелось бы видеть скрины NAT и правил.
-
Я так понял, что нат для второй сети он не включал, в инет ходит через прокси в ПФ на сквиде, шлюзы на ПК не прописывал.
NAT я не в ключал как для второй так и для первой сети. Просто не знал нужно ли и что именно нужно вводить. Я успокоился когда сумел вторую сетку в инет выпустить.
@DasTieRR:Сквид не поддерживает поп и смтп (по крайней мере в стандартной конфигурации ПФ) потому и не работает.
Про это я уже понял, только от этого не легче. Почту настроить надо.
@DasTieRR:Автору - PF умеет пускать в инет и без прокси.
Тоже не спорю, только вот что сумел накопать - так и настроил. Сейчас отключу прокси и опять на неделю все встанет.
Касательно скринов - в NAT - я вообще ничего не заводил и оутбоунд стоит на автомате. Правила прикладываю, но не пинайте за то что там увидите - я только учусь.
-
А через веб-интерфейс на почту выход есть?
только через вэб и спасаюсь пока.
@gr0mW:Squid программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Он не работает с почтовыми протоколами. Делайте или прозрачный режим или настраивайте правила на интерфейсах.
Да и насколько помню ThunderBird не работает через http proxy, а только через SOCKSПрозрачным делать не могу т.к. нужно из одной сетки дать инет 2 компам и из другой 2, остальные в инет ходить не должны. А на счет правил на интерфейсах - потому и пришел за помощью.
-
Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо).
1. Открыть порты допустим 3500-65000 TCP/UDP
Спасибо, помогло. До кучи отключил еще и "DNS Rebind Check" - теперь и сайт с торрентами открывается.
-
Прозрачным делать не могу т.к. нужно из одной сетки дать инет 2 компам и из другой 2, остальные в инет ходить не должны. А на счет правил на интерфейсах - потому и пришел за помощью.
Ихо…
1. сделайте резервную копию конфигурации Pf (надеюсь это вы умеете)
2. Вам сюда http://doc.pfsense.org/index.php/Multi-LAN_Setup
3. В свободное от юзверей время настроите мульти лан (благо вы будете иметь возможность восстановить вашу конфигурацию минут за 5-15)
4. Откройте все порты на всех интерфейсах.А вот когда сможете в инет ходить из двух подсетей (и почто у вас будет работать), тогда уж и сквид поднимайте, потом авторизация и уж напоследок закроете все нежелательные порты. Не помешает на каждом этапе настройки делать бекапы конфигурации.
P.S. Каждый этап, вы сможете найти поиском в форуме или гугле
-
Вчера попытался сделать как вы описали. сделал резервную копию. снес конфигурацию на дефолтовую. настроил адреса интерфейсов. дополнительного ПО ставить не стал. В итоге доступ к вэб-морде получил, открыл порты, но в инет без прокси так выйти и не смог. блин, мне всего то осталось выпустить в инет почту и клиент-банк. неужели такая задача неподъемная?
-
Уберите ВСЕ правила! На LAN оставьте самым верхним ОДНО правило :
* * * * * * none
Т.е. разрешено всё , отовсюду и для всех (временно, конечно). Рf является шлюзом по умолчанию для вашей сети,т.е. его LAN IP у вас в кач-ве шлюза на машинах прописан?
Тип подключения к Сети как организован (прямой или через туннель) ? При поднятие линка с пров-ом с самого pf пинг и traceroute идет (разделы Diagnostics: Ping и Diagnostics: Traceroute)?Вопросов масса - прикладывайте скрины правил fw.
-
снес конфигурацию на дефолтовую. настроил адреса интерфейсов. В итоге доступ к вэб-морде получил, открыл порты,
По дефолту сенс не насторит вам два NAT. По дефолту, это с одним LAN. Для второго лан, правила ручками.
но в инет без прокси так выйти и не смог.
Вы ведь не ставили доп. П.О.! При чем тут прокси. Как один из вариантов ДНС (53 тсп.юдп) закрыт. Не работате НАТ. См выше.
блин, мне всего то осталось выпустить в инет почту и клиент-банк. неужели такая задача неподъемная?
Задача подъемная. Но делать ее надо правильно (NAT), а не способом для ХТТП трафика.
-
неужели такая задача неподъемная?
Для быстрого подъема вашей неподъемной задачи накропал. http://thin.kiev.ua/router-os/50-pfsense/659-wan-2-lan-pfsense-20.html
dvserg
Может в FAQ ? -
вот параметры домашней системы: IP клиента 192.168.0.15, IP сенса 192.168.0.12 - сенс указан в качестве шлюза. С приложенными скринами я смог выйти в инет только после того, как указал в браузере адрес шлюза в качестве прокси! в процессах его нет. но без этого прокси в инет я выйти не могу. кстати почта так и не работает.
-
скрин сервисов
-
Правила на LAN- все ок
Правила NAT - в source - 192.168.0.0/24 и убрать второе правило, destination - any !!! И выключите пока что прокси. -
все то же самое. в инет выхожу только если ставлю в браузере "использовать прокси сервер 192.168.0.12 Порт: 3128"
-
NAT в режим Manual поставьте
-
я конечно могу поставить, но в тексте под скрином в первой же строке написано "except WAN-type connections" - т.е. автоматический режим не будет использовать введенные правила, кроме правил по WAN. Я попробую, но вряд ли в этом дело.
-
Ну прям "чудеса" у вас творятся какие-то 8) Это самая простая комбинация правил, к-ая только может быть. С нуля pf ставить пробовали, т.е. не на дефолт конфигурацию сбрасывать , а именно с нуля ставить? Плюс , посмотрите , не ли в Status: Interfaces цифирок в пунктах In/out errors и Collisions на всех интерфейсах. И скрин бы этого меню не мешало бы приложить (Status: Interfaces).
-
NAT в режим Manual поставьте
У меня с - Manual Outbound NAT rule generation
(AON - Advanced Outbound NAT)
перестал работать.Стесняюсь сказать, но выше я выложил пошаговую инструкцию в картинках, дабы не разводить флейм. http://thin.kiev.ua/router-os/50-pfsense/659-wan-2-lan-pfsense-20.html
-
я конечно могу поставить, но в тексте под скрином в первой же строке написано "except WAN-type connections" - т.е. автоматический режим не будет использовать введенные правила, кроме правил по WAN. Я попробую, но вряд ли в этом дело.
Если ты сам знаешь, зачем спрашиваешь?
-
Для dr.gopher :
Именно по вашей инструкции я и делал - не вышло. После мне сказали в НАТе поставить адрес не в destination (как в вашей инструкции) а в source - так же не помогло. Единственное, что я думаю сделать, как впрочем и говорит werter - попробую заново проинсталлить pfsense. Это думаю внесет коррективы. -
Для dr.gopher :
Единственное, что я думаю сделать, как впрочем и говорит werter - попробую заново проинсталлить pfsense.Установка и настройка ПФ это максимум 30 минут. Могли бы и сами додумать, проэксперементировать. :-)
И написано это, и красным выделено - "Вы установили Pfsense и у вас нет никаких правил установленных пакетов, авторизации и т.п." :'(
-
Сделал как по инструкции - действительно заработал инет и почта. Но как только я отключаю DHCP на LANе и жестко прописываю адрес на сетевой карте клиента - инет работать перестает (почта тоже), хотя скайп почему то работает. Мне в локалке dhcp не нужен. Как быть?
-
Сетевые реквизиты на пропишите в точности ТАКИЕ ЖЕ какие получили по DHCP. Один в один - адрес, маску подсети, шлюз и ДНС(ы)!
-
дико извиняюсь, но какие ДНСы мне нужно прописать? а меня адрес платы клиента 192.168.0.15, шлюз (сенс) 192.168.0.12, а WAN получает DHCP от АДСЛ-модема (сейчас имеет адрес 192.168.1.8), соответственно сам модем имеет адрес 192.168.1.1 - в качестве ДНС-сервера мне нужно указать 192.168.1.1?
Позже. Сорри, действительно, прописал 192.168.1.1 в качестве DNS у клиента и заработало. Буду, теперь пытаться настраивать дальше. Вот только вопрос, а тот факт что я делаю копию конфигурации, а после устанавливаю дополнительное ПО - в случае отката конфигурации ПО же останется? -
странно все это. что ж получается, прокси вообще без надобности что ли? Установил прокси, а в инет хожу как с указанием прокси так и просто без прокси. Через алиал завел группу нужных адресов - с них выхожу нормально, стоит только поменять адрес на иной - и инет перестает работать. В принципе, если так оно и будет - прокси не нужен. Но я хотел некоторой группе компов запретить доступ к определенным сайтам, а это вроде как в прокси настраивается. Как тут быть?
Позже: Похоже что выходом для меня будет использование прозрачного прокси. Подскажите, как можно изменить предупреждения типа:
ОШИБКА
Запрошенный URL не может быть доставлен
Во время доставки URL: some url
Произошла следующая ошибка:
Доступ запрещён.
Настройка контроля доступа не даёт возможности выполнить Ваш запрос в настоящее время. Пожалуйста, свяжитесь с Вашим поставщиком услуг Интернет, если Вы считаете это неправильным.
Generated Sun, 05 Aug 2012 17:17:12 GMT by localhost (squid/2.7.STABLE9)
что бы вставить свой текст с картинкой? -
Установил прокси, а в инет хожу как с указанием прокси так и просто без прокси.
Учите мат часть!
С вашим уровнем знаний, всегда можно будет обойти все ваши запреты.
Ананимайзеры, прокси сервера http://thin.kiev.ua/categoryblog/593-proxy.html, тотже http://translate.google.com.ua работает как прокси.
На все ваши вопросы есть ответы на форуме. Используйте поиск. -
С вашим уровнем знаний, всегда можно будет обойти все ваши запреты.
Я настраиваю не для оборонной промышленности, а для фабрики. И блочить мне нужно не от хакеров, а от тупых юзеров, которым только одноклассники да майл.ру подавай, лишь бы не работать. Сегодня на работе произвел настройки как дома (ладно хоть сносить систему не понадобилось) и пока что все работает как надо. Спасибо за наводки.
-
От любителей "одноклассников, майл.ру, вконтакте" одним сквидом Вы не спасетесь. Существует достаточно способов его обойти. Если Вы хотите действительно все качественно настроить, то стоит начать с основ. Понять как работает NAT, такое source, destination и тд. И все станет намного понятней.
-
От любителей "одноклассников, майл.ру, вконтакте" одним сквидом Вы не спасетесь. Существует достаточно способов его обойти.
если бы вы видели тех юзеров, которые тут работают, вы бы поняли, что для них слово "анонимайзер" имеет больше сходства с онанизмом чем с анонимностью.
@gr0mW:Если Вы хотите действительно все качественно настроить, то стоит начать с основ. Понять как работает NAT, такое source, destination и тд. И все станет намного понятней.
Очень хочу, но как? нормального мануала "с основ до совершенства" я не нашел, приходится делать то как получается (ладно хоть получилось, а то начальство уже напрягало).
-
И блочить мне нужно не от хакеров, а от тупых юзеров, которым только одноклассники да майл.ру подавай, лишь бы не работать.
так от "тупых юзеров" защиты нет - не доберутся до соц.сетей будут вопить нужное не получил потому что админ инет заблокировал или проще снесут систему и опять ты же вроде как и виноват будешь.
настраивай все по уму и самому приятно и сетке полезно. ;) -
так от "тупых юзеров" защиты нет - не доберутся до соц.сетей будут вопить нужное не получил потому что админ инет заблокировал или проще снесут систему и опять ты же вроде как и виноват будешь.
ничего они вопить не будут, все работает за исключение соц.сетей. а систему снести - у них ума не хватит.
@NegoroX:настраивай все по уму и самому приятно и сетке полезно. ;)
не спорю, но, как я уже говорил, нормального мануала не нашел.
-
дико извиняюсь, но какие ДНСы мне нужно прописать? а меня адрес платы клиента 192.168.0.15, шлюз (сенс) 192.168.0.12, а WAN получает DHCP от АДСЛ-модема (сейчас имеет адрес 192.168.1.8), соответственно сам модем имеет адрес 192.168.1.1 - в качестве ДНС-сервера мне нужно указать 192.168.1.1?
Позже. Сорри, действительно, прописал 192.168.1.1 в качестве DNS у клиента и заработало. Буду, теперь пытаться настраивать дальше. Вот только вопрос, а тот факт что я делаю копию конфигурации, а после устанавливаю дополнительное ПО - в случае отката конфигурации ПО же останется?Сколько уже говорено-переговорено про проблемы с "двойным" натом :( Повторюсь еще раз - модем в БРИДЖ и pf поднимает сессию! И модему "лечге" и проблем типа "а пачиму йа фсё сделал по инс-ции , а ничиво ни работаить :( " станет на 90% меньше.