2 adet PfSense Görev Paylaşımı

tuzsuzdeli

1 -  neden tek makine ile yapmıyorsunuz?
2 - iki makineyi aynı lan a alıp birini gateway yapıp diğerini de proxy yapıp client makinelerin web trafiğini Squid üzerinden geçirebilirsiniz

xxsnake

@tuzsuzdeli:

1 -  neden tek makine ile yapmıyorsunuz?
2 - iki makineyi aynı lan a alıp birini gateway yapıp diğerini de proxy yapıp client makinelerin web trafiğini Squid üzerinden geçirebilirsiniz

1- Bu düşünce aslında şuan için pek gerekli değil. İleride fortigate cihazlarından bir tane alınması düşünülüyor. Aynı mantığı fortigate'e uygulayabilirim düşüncesiyle hem şuan için çalışan pfsense makinenin işlem yükünü azaltmak için hemde ileride 5651 için farklı bir çözüm ihtiyacı aramamak için bu şekilde bir çözüm düşündük.
2- Sanırım sizin dediğinizi yapmaya çalıştım. İlk postumda belirttiğim gibi bir yol izledim. Sizin Squid üzerinden geçirebilirsiniz dediğiniz evet oluyor ancak kuralların çalıştığı ana pfsense makinede tüm makineler tek bir makine olarak (Squid yüklü makinenin wan bacağı olarak) görünüyor. Ana pfsense üzerinde tanımlanmış hiç bir kuralı uygulayamıyorum. Eğer squid yüklü makineden istekte bulunan istemcilerin herbirini unique olarak diğerine aktarabilirsem problemim kalmıyor.

tuzsuzdeli

ben iki makineyi aynı lan içine alın demiştim.
sizin dediğiniz gibi arda arda bağlamayacaksınız.

xxsnake

Aynı lan içerisinde zaten. Art arda bağlamadım. Sadece gateway olarak 1. pfsense'in ipsini gösterdim. Sizin proxy olarak üzerinden geçirebilirsiniz dediğiniz yöntemi biraz daha açıklayabilirseniz sorun sanırım çözülecek.

tuzsuzdeli

örnek

firewall 10.10.1.254
proxy 10.10.1.253

clientlara gateway olarak 10.10.1.254 vereceksiniz.
clientlara proxy olarak 10.10.1.253 vereceksiniz (active directory varsa otomatik ayarlayabilirsiniz yok ise manuel)

10.10.1.254 üzerinden web'e sadece proxy makinesinin çıkmasına müsade edeceksiniz ki clientlar direk çıkamasın.

web trafiği dışındaki tüm trafiği firewall makinesi üzerindeki kurallarla düzenleyeceksiniz (dns, smtp,rdp vsvs)
web ile ilgili tüm loglama ve sınırlama işlemlerini de proxy üzerinde halledeceksiniz.

xxsnake

Çok teşekkür ederim. Sorun halloldu.

xxsnake

Arkadaşlar;
Bu şekilde bir yol izlediğimde firewall üzerinde ve log tutan cihazda istemciler kendi ipleriyle görünüyor firewall kurallarınıda işletebiliyorum ancak squid ile alakalı herhangi bir kısıtlama yapamıyorum. Şimdiki sorunum squid kurallarının kontrolü. Bu konuda nasıl bir yol izlemeliyiz??

sgtr

Selam,

Bunun için squidGuard paketini kurabilirsiniz.

Sevgilerle,
SGTR

xxsnake

Squidguard yüklü. Squid loglarına kullanıcı istekleri düşüyor ancak sanırım sadece proxy olarak gösterdiğimiz için filtreleme kurallarının hiçbirisi etkin olamıyor. Asıl firewalldaki squid ve squidguard aktif edilince 1. makinenin kuralları aktif oluyor. Bu şekilde de 1. makinede yine en baştaki problemim gibi tüm makineler tek bir ip olarak gözüküyor ve yine kişiye özgü kural tanımlayamıyorum..

xxsnake

Arkadaşlar;
Yukarıdaki izlediğimiz yolda sanırım çözüm bulamayacağız. Bende log tutacak makineyi bridge modda çalıştırıp transparan firewall olarak kullanmayı düşündüm. Diğer cihazlarda ayar değiştirmeden log tutacak makineyi  Modem–>Firewall-->LogFW-->Lan  şeklinde lan ile firewall arasına yerleştirdim. Landaki tüm cihazların gw yine firewalla bakıyor. Bu şekilde tüm paketler logfw üzerinden geçiyor. Firewall kurallarını test ettiğimde hem logfw nin hemde mevcut fwnin kuralları çalışabiliyor. Ancak logfw üzerinde squid ve squidquard gibi paketler üzerinden geçen web isteklerini göstermiyor bu yüzden log alamıyorum. Bridge modda squid loglarını tutabilir miyiz?