Вопросы по начальному конфигурированию
-
Гуглим "Первоначальная настройка pfsense". Cтатей на русском море.
-
Гуглим "Первоначальная настройка pfsense". Cтатей на русском море.
Гугл не помог. Ставил то по сути как в руководствах написано, тут http://climber89.blogspot.com/2012/08/pfsense.html и тут http://www.iceflatline.com/2010/08/install-and-configure-pfsense-in-your-home-network/. Я так понимаю что сходу все должно работать, но по факту не работает.
-
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером. -
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1 В Rules на LAN надо разрешить все.
Если клиент выйдет в интернет, до можно уже баловаться и с DHCP, и с отдельным DNS сервером.Сделал это:
я советую саму простую схему:машина-клиент и машина-pfsense. Вручную дать адрес клиенту 192.168.0.2, default gw 192.168.0.1 , DNS 8.8.8.8 На LAN pfsense повесить адрес 192.168.0.1
Работает.
Значит проблема в настройках которые приходят от DHCP моего сервера когда он включен. Мне кажется что проблема может быть в моих серверах DNS. Я их указываю как дефолтные для клиентов. Может такое быть что DNS в локалке не могут соединится с серверами пересылки серверов провайдера и по этому нет конекта? -
тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер сам делает ДНС запросы на pfs.
-
тут уже проблема твоих серверов а не pfs. Пусть твой ДНС сервер сам делает ДНС запросы на pfs.
Все починил. Проблема была в том что на контроллере не был прописан шлюз(facepalm).
Тему не сносите, мне ещё нужно с прокси и шейпером разобраться) -
Новый вопрос.
Как можно ограничить некоторым пользователям доступ в интернет?
Допустим у нас в сети 10 пользователей, но интернет должен быть доступен только 3м. В сети домен AD и DHCP сервер.
Я так понял что есть два варианта:
1й - в правилах фаервола запретить трафик на порты 80 и 443. Получается все клиенты не смогут получить доступ в нет, кроме тех кому в свойствах браузера/программы не будет прописан ручками данные прокси IP:port. Запретить изменять эти данные можно будет средствами AD.
2й - вариант, назначить в свойствах DHCP статические адреса для тех то будет иметь доступ в нет, в настройках фаервола создать алиас для такой группы, всем же остальным адресам запретить. Правда не могу понять как организовать порядок правил, если в конфиге прокси будут прописаны адреса которые ходят вне его.
Оба варианты работоспособны? Какие ещё есть простые способы? -
Для этого существует на pfs captive portal. Кому положено -тот через ввод пароля пользуется интернетом.
-
Captive Portal не подходит. Нужно чтобы доступ в интернет для конечного пользователя был "прозрачен". Чтобы пользователь не знал и не понимал почему у него есть интернет, а у соседа по отделу нету. А пароли и логины в Captive Portal лишняя морока.
Те варианты что я описал выше я попытаться смоделировать. Первый у меня получился, а вот с алиасами нет. Создал алиас, добавил туда IP клиента, отключил стандартное правило в фаерволе(доступ для всех внутри сети), и создал новое в котором разрешил все для ранее созданного алиаса, но интернет у клиента не работает. ЧЯДНТ? -
Дайте посмотреть.
-
Ещё вариант. Прописал всех юзеров которым нужен интернет в DHCP сервера(создал им стат IP адреса с привязкой к MAC). В правилах фаервола в Pfsense вторым правилом поставил запрет любого трафика применительно к алиас(диапазон 192.168.0.30-192.168.0.254, то есть все кому раздаются адреса динамически.) В таком режиме получается остается работать "прозрачный" прокси, и не нужно нигде ничего прописывать на клиентах. Да и статистика Lightsquid начинает показывать цифри по реальным IP а не с надписью "И кто это?".
-
получилось?
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
-
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.
Ну тогда хоть памяти от гектара поставьте и ХДД пошире
-
получилось?
Вроде как на виртуалке получилось. Как оно уже будет в реале буду смотреть позже. Осталось настроить SquidGuard и HAVP для полного счастья.
Ну squd, squidGuard понятно, а HAVP вам зачем? Чтобы тормозил? Прискорбно, что нет ему альтернативы.
Хочу увидеть насколько он тормозит.
Ну тогда хоть памяти от гектара поставьте и ХДД пошире
Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть? -
Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?:-\ Там на первой странице специальная кнопочка с индикатором есть.
-
Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?:-\ Там на первой странице специальная кнопочка с индикатором есть.
Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.
Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter в опциях Traffic shaper тогда канал лимитируеться не зависимо от того на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?
-
Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter в опциях Traffic shaper тогда канал лимитируеться не зависимо от того на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?
В целом да.