Вопросы новичка по pfsense
-
Буду здесь выкладывать все возникающие вопросы.
Установлено и работает:
pfsense 2.0.3, squid 2.7.9 pkg v.4.3.3, Lightsquid 1.8.0 pkg v.2.32В данный момент Lightsquid выдает отчет в которым прописан ip компа и все.
Вопрос:
Где прописываются фио пользователей, задается привязка к мак-адресу, ip-адресу, разбивка по группам и т.п.? -
Вопрос:
-
Где прописываются фио пользователей
Тема обсуждалась, ищите поиском по форуму -
задается привязка к мак-адресу,
Нигде, это не является функцией анализатора логов -
ip-адресу,
См. п.1 (соответствие IP - ФИО) -
разбивка по группам и т.п.
Этот функционал не реализован, если только вручную не допилите конфигурационные файлы LS
-
-
http://www.thin.kiev.ua/router-os/50-pfsense/495–http-squid-lightsquid-pfsense-20.html
-
@Барс:
задается привязка к мак-адресу
http://www.thin.kiev.ua/router-os/50-pfsense/679-ip-address-mak-dhcp-pfsense-.html
-
LightSquid показывает трафик.
Это входящий трафик? Или входящий + исходящий?
Как раздельно посмотреть трафик входящий и исходящий? -
@Барс:
LightSquid показывает трафик.
Это входящий трафик? Или входящий + исходящий?
Как раздельно посмотреть трафик входящий и исходящий?Это входящий HTTP трафик.
Прокси не покажет вам весь трафик.
Для этого нужно использовать иные средства. -
ipcad надо настраивать?
Нужен полный учет трафика, входящего и исходящего. Чтобы данные совпадали со статистикой провайдера.
100% учет всего трафика в pfsense вообще возможен? допускается отклонение 1-3% -
http://forum.pfsense.org/index.php/topic,21394.180.html (в самом низу)
http://rezor666.wordpress.com/2013/02/25/настройка-ipcad-на-pfsense-2-0-2/ -
Сделал все по инструкции http://rezor666.wordpress.com/2013/02/25/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-ipcad-%D0%BD%D0%B0-pfsense-2-0-2/
После перезагрузки выдает ошибки:
Fatal error: Cannot create references to/from string offsets nor overloaded objects in etc/inc/xmlparse.inc on line 69rm: /tmp/config.cache: No such file or directory
Сервак загрузился, выдается меню, можно зайти в шелл, перезагрузить и т.д.
Сервак не пингуется, ни по локальному, ни по белому внешнему ip.
В локалке используются ip: 192.168.0.x/255.255.255.0, в инструкции ничего не менял.
Вопрос: Что делать в данной ситуации?
-
Не ожидал увидеть ссылки на свой блог :)
Барс покажите вывод команды
ifconfig
cat /var/log/system.log
cat /var/log/filter.log
ipfw -a listЕсли лень ковыряться то востановления сенса в дефолт.
Не понятно правда что вы такого намудрили из моей доки что он так упал. -
Ответ по команде ifconfig:
rl0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:80:48:16:41:e5
media: Ethernet autoselect
status: active
rl1: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:80:48:12:e8:b8
media: Ethernet autoselect
status: active
plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
pflog0: flags=0<> metric 0 mtu 33200
enc0: flags=0<> metric 0 mtu 1536
lo0: flags=8808 <loopback,multicast>metric 0 mtu 16384
options=3 <rxcsum,txcsum>Ответ cat /var/log/system.log (неполный, пишу то что поместилось на экране):Sep 13 09:41:28 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
Sep 13 09:41:28 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
Sep 13 09:43:29 proxy kernel: arp: 192.168.0.12 moved from 60:a4:4c:8c:af:e9 to 48:60:bc:0f:ab:9b on rl1
Sep 13 09:49:57 proxy kernel: arp: 192.168.0.12 moved from 48:60:bc:0f:ab:9b to 60:a4:4c:8c:af:e9
Sep 13 09:56:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
Sep 13 09:56:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
Sep 13 10:05:30 proxy kernel: arp: 192.168.0.12 moved from 60:a4:4c:8c:af:e9 to 48:60:bc:0f:ab:9b on rl1
Sep 13 10:08:47 proxy sshd[60554]: Accepted keyboard-interactive/pam for root from 109.73.40.116 port 64694 sh2
Sep 13 10:08:47 proxy sshd[60554]: subsystem request for sftp
Sep 13 10:11:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
Sep 13 10:11:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
Sep 13 10:13:04 proxy reboot: rebooted by root
Sep 13 10:13:04 proxy syslogd: exiting on signal 15Ответ по cat /var/log/filter.log (неполный, пишу то что поместилось на экране):
Sep 13 09:29:08 proxy pf: 00:00:05.737514 rule 1/0(match): block in on rl0: (to 0x0, ttl 105, id 27857, offset 0, flags[none], proto UDP (17), length 129)
Sep 13 09:29:08 proxy pf: 180.218.208.109.18740 > 83.69.221.91.2522: UDP, lenght 101
Sep 13 09:29:14 proxy pf: 00:00:06.834933 rule 1/0(match): block in on rl0: (to 0x0, ttl 37, id 22458, offset 0, flags[none], proto UDP (17), length 126)
Sep 13 09:29:14 proxy pf: 111.253.71.85.24910 > 83.69.221.91.2522: UDP, lenght 98
Sep 13 09:29:16 proxy pf: 00:00:01.266086 rule 1/0(match): block in on rl0: (to 0x0, ttl 120, id 49115, offset 0, flags[DF], proto TCP (6), length 48)
Sep 13 09:29:16 proxy pf: 46.119.104.207.1166 > 83.69.221.91.445: Flags (S) cksum 0x2dc5 (correct), seq 423914980, win 65535, options [mss 1460,nop,nop, sakOK], lenght 0
Sep 13 09:29:19 proxy pf: 00:00:02.986698 rule 1/0(match): block in on rl0: (to 0x0, ttl 120, id 52116, offset 0, flags[DF], proto TCP (6), length 48)
Sep 13 09:29:19 proxy pf: 46.119.104.207.1166 > 83.69.221.91.445: Flags (S) cksum 0x2dc5 (correct), seq 423914980, win 65535, options [mss 1460,nop,nop, sakOK], lenght 0
Sep 13 09:29:26 proxy pf: 00:00:07.433816 rule 1/0(match): block in on rl0: (to 0x0, ttl 52, id 0, offset 0, flags[DF], proto UDP (17), length 93)
Sep 13 09:29:26 proxy pf: 80.56.103.211.6881 > 83.69.221.91.2522: UDP, lenght 65Ответ по команде ipfw -a list:
ipfw: getsockopt(IP_FW_GET): Protocol not availableКомментарии:
server.Domain.local - сервер локальной сети под win2003
комп с pfsense носит имя proxy
109.73.40.116 - комп из Интернета, для которого делался проброс портов через pfsense на терм. сервер server.Domain.local, при том что pfsense не является шлюзом по умолчанию для server.domain.local, на всех остальных компах в сети pfsense стоит шлюзом по умолчанию
83.69.221.91 - wan ip pfsense
пробовал загружаться в безопасном режиме - ошибка осталась</rxcsum,txcsum></loopback,multicast></pointopoint,simplex,multicast></vlan_mtu></broadcast,simplex,multicast></vlan_mtu></broadcast,simplex,multicast> -
только вчера по данной статье поставил IPCAD на pf v2.03, все работает.
ты наверное где то ошибся. -
хотелось бы понять, где я ошибся :-)
все с нуля переустановить не проблема, но надо знать где ошибка, чтобы опять ее не совершить -
Затер pfSense 2.0.3, поставил 2.1
При установке ipcad на 2.1 что меняется? http://rezor666.wordpress.com/2013/02/25/настройка-ipcad-на-pfsense-2-0-2/Путь к файлам будет другим?
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.2-RELEASE/packages/Latest/
8.2 вместо 8.1?RSH нужен другой уже? Если да, то где его можно взять?
-
@Барс:
Путь к файлам будет другим?
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.2-RELEASE/packages/Latest/
8.2 вместо 8.1?Каг бы - 8.3
-
@Барс:
Путь к файлам будет другим?
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.2-RELEASE/packages/Latest/
8.2 вместо 8.1?Каг бы - 8.3
чет хитромудро :)
ставил 8.1 на pf203
строка для установки
pkg_add -r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/compat6x-i386.tbz
и
pkg_add -r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/ipcad.tbz
pkg_add -r ipcad.tbz -
Еще проще
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
pkg_add -r compat6x-i386
pkg_add -r ipcad -
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
pkg_add -r compat6x-i386
pkg_add -r ipcadнет, так не пошло, поэтому и указал как делал.
-
Какая возникает ошибка и на какой версии сенса?
Проверил, все работает так же как и в 2.1!
Подробнее будет в новой статье о новой версии. -
pfsense 2.03
после
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
на команду
pkg_add -r compat6x-i386 или pkg_add -r ipcad
пишет что нет файла.
если выполнить
pkg_add -r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
то все есть и ставится нормально. -
Стоит и работает:
pfsense 2.1, Lightsquid 1.8.0 pkg v.2.32, squid 2.7.9 pkg v.4.3.3, ipcadКак посмотреть входящий и исходящий трафик по пользователям?
Что для этого нужно сделать/настроить? -
http://www.thin.kiev.ua/router-os/50-pfsense/495–http-squid-lightsquid-pfsense-20.html
http://rezor666.wordpress.com/2013/02/25/настройка-ipcad-на-pfsense-2-0-2/ -
хотелось бы иметь отдельную колонку для входящего трафика и отдельную для исходящего трафика.
в предложенном варианте весь трафик суммируется в одной колонке. -
Перепишите squid, lightsquid и ipcad.
Потом выложите исходники сюда а мы посмотрим. :) -
@Барс:
хотелось бы иметь отдельную колонку для входящего трафика и отдельную для исходящего трафика.
в предложенном варианте весь трафик суммируется в одной колонке.SARG - http://jimiz.net/2012/11/pfsense-sarg-squid-reports/ ? Но он тоже считает только входящий , вроде. Попробуйте ipcad.
-
werter, это бессмысленно.
IPCAD не кладет логи в формате INPUT или OUTPUT а соответственно нету не какой фильтрации по вх/исх трафику.
Что бы был вх/исх то надо переписывать ipcad и что бы он сохранял в логах пакеты с добавлением строки INPUT/OUTPUT и переписывать lightsquid что бы он мог фильтровать трафик с учетом строк INPUT/OUTPUT. -
2 Rezor666
Спасибо, понял.
-
Если я верно понял то нужно что-то типа или сам ntop который будет писать лог, складывать его в отдельный файл и какой то пакет будет его считывать и выводить.
Или переписывать lightsquid что бы он смог правильно отображать лог ntop.
Хотя судя по различным докам сам ntop имеет графический web интерфейс, в общем надо тестить :)Похоже я был прав.
Осталось только проверить можно ли изменить так конфиг на pfSense
Завтра попробую прикрутить на pfSense такую софтину -
1. Есть результаты?
Завтра попробую прикрутить на pfSense такую софтину
2. стоит ipcad + squid3 + lightsquid
данные из ipcad попадают в lightsquid в виде ip-aдресов.
Как ip-адреса преобразовать в доменные имена? -
@Барс:
2. стоит ipcad + squid3 + lightsquid
данные из ipcad попадают в lightsquid в виде ip-aдресов.
Как ip-адреса преобразовать в доменные имена?http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html
Скрипт резолвит большую часть ссылок. Но некоторые не читабельны.
Ищем стоку:
Для преобразования IP адресов в доменные имена, используем изменим файл tolog.shСкрипт написал forestman99 и выложил на форуме
-
Барс
Пока нету времени тестить.
Учитывая что ntop стоит в pfsense по default то попробуйте поковыряться в конфиге или выложите его мне в личку т.к сейчас не имею возможности запустить pfsense. -
1. Как получить список страниц, посещенных пользователем? Нужно что-то похожее на хистори браузера.
А то в статистике куча ссылок на те сайты, куда пользователь даже не заходил.2. Как блокировать Интернет-рекламу?
-
@Барс:
1. Как получить список страниц, посещенных пользователем? Нужно что-то похожее на хистори браузера.
А то в статистике куча ссылок на те сайты, куда пользователь даже не заходил.2. Как блокировать Интернет-рекламу?
А не много погуглить?
1- С статистикой все верно. Может пользователь и не посещал самого сайта но видел от него рекламу.
LIghtsquid не умеет врать, он не человек :)2- Обсуждалось тысячу раз.
Или пишите фильтры или пользуйтесь готовыми списками. -
Уважаемые,за неимением большого опыта возник вопрос следующего характера. Допустим выходит из строя сетевая карта которая lan носящая ип к примеру 192.168.0.10. Через которую осуществляется доступ к интерфейсу pfSense. Не могу допетрить каким образом заменить сетевую карту что бы работало как и прежде? Единственным вариантом который приходит на ум это установить сетевую карту и переназначить интерфейсы путем выбрав пункт 1 – Assign Interfaces. Или есть другие способы? Спасибо тем кто просветит:)
-
Вопрос по поводу файерволла!
Скажите пожалуйста, прокси PfSense, мне надо, что бы в инет выходил только один комп из всей локальной сети, для этого в файерволле надо создать правило (-а), в котором (-ых) я указываю:
Interface - LAN
Protocol - TCP/UDP
Source - мой комп алиасом
Destination - ? вот тут ГЛАВНЫЙ вопрос, что здесь указывать? LAN subnet, WAN subnet?!
Ну и естественно, не хочется чтобы в инет лезло всё подряд, надо указать:
Destination port range - ?
То есть, как я понимаю, надо указывать порты:
HTTP, HTTPs - для браузеров?
TCP/UDP 53 - для DNS (хотя это необязательно, я сделал пересылку через сервер)
Порты для того же аутглюка
Отдельно порт для обновления антивиря
Ну может ещё порт для синхронизации времени…Что писать в Dest?! :)))
-
-
Что писать в Dest?! :)))
выбрать any
У меня в данный момент так и выбрано, это верное решение?!
И ещё, я правильно понимаю, по поводу портов? -
Как зарезервировать в DHCP два статических ip-адреса для одного компа?
На компе две сетевухи - обычная и wi-fi.
При добавлении второго статического ip выдается ошибка:
The following input errors were detected: This Hostname, IP or MAC address already exists.
Я же не могу прописать два разных hostname для одного компа? Или могу?
Если у одного компа будет два разных hostname одновременно, это ведь черти что получится. -
@Барс:
Если у одного компа будет два разных hostname одновременно, это ведь черти что получится.
Иначе никак.
Я писал:
SimaPupkin
SimaPupkin-wifi
:-) -
Помогите, пожалуйста, с файерволом!
Правило, для которого я веду лог, разрешает выход в инет с моего компа по всем протоколам и во все направления, инет работает! (Основное правило)
Но мне этого не надо, я хочу настроить выходную фильтрацию! :)
Выше создал правила для HTTP, HTTPs, SMTP, POP3 и на всякий случай для DNS, хотя это, по идее, не обязательно, так как я днс с сервера запрашиваю!
Если отключаю основное правило, то инет пропадает! Работать продолжает только qip! (видимо ему 443 порт нужен)
Если смотреть через Status/System logs/firewall, то там показано, что отбрасывается запрос с моего IP по произвольному порту, на адрес прокси по порту 3128 proto TCP:S
Если я создаю правило разрешающее выход с моего компа на прокси (Source: Admin Dest: Proxy), то инет опять появляется, но это, как я понимаю, в результате работы NAT?
В чём косяк или где мне смотреть логи, в которых будут указаны запрашиваемые порты и протоколы, а не порты прокси? :)