настройка firewall pfsense 2.1.5 если локальные сети за пров
-
1. Удаляете 1-е и 2 последних правила на WAN
2. Создаете два Vitrual IP для WAN (тип IP alias) - 10.0.105.204/24 и 192.168.2.9/24
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination - 10.0.105.0/24, NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9
И ставите эти правила выше всех. -
Сегодня утром сделал по Вашим пунктам, сбросил pfsense по дефолту всё, заново интерфейсы настроил, на сети 192.168.0.0/24 интернет был, но не было связи с филиалами (10.0.105.0/24 и 192.168.2.0/24)
Может я где то не правильно указал, или надо было ещё прописать что-то (машину ребутал после настроек)ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"
![Firewall Rules WAN.png](/public/imported_attachments/1/Firewall Rules WAN.png)
![Firewall Rules WAN.png_thumb](/public/imported_attachments/1/Firewall Rules WAN.png_thumb)
![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb)
![Firewall Virtual IP Addresses.png](/public/imported_attachments/1/Firewall Virtual IP Addresses.png)
![Firewall Virtual IP Addresses.png_thumb](/public/imported_attachments/1/Firewall Virtual IP Addresses.png_thumb)
![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
![Status System logs Firewall.png](/public/imported_attachments/1/Status System logs Firewall.png)
![Status System logs Firewall.png_thumb](/public/imported_attachments/1/Status System logs Firewall.png_thumb) -
ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination - 10.0.105.0/24, NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9И ставите эти правила выше всех.
Посмотрите что я выделил жирным.
Внимательнее впредь.![2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg](/public/imported_attachments/1/2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg)
![2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg_thumb](/public/imported_attachments/1/2014-12-11 16_18_13-наÑтройка firewall pfsense 2.1.5 - Opera.jpg_thumb)
![2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg](/public/imported_attachments/1/2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg)
![2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg_thumb](/public/imported_attachments/1/2014-12-11 16_23_23-наÑтройка firewall pfsense 2.1.5.jpg_thumb) -
нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ
![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb) -
И я бы все же 3-е правило на WAN в самый низ поставил.
-
ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как) - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек
![Proxy server General settings.png_thumb](/public/imported_attachments/1/Proxy server General settings.png_thumb)
![Proxy server General settings.png](/public/imported_attachments/1/Proxy server General settings.png)
![Proxy server Access control.png](/public/imported_attachments/1/Proxy server Access control.png)
![Proxy server Access control.png_thumb](/public/imported_attachments/1/Proxy server Access control.png_thumb) -
Последний скрин - выберите и WAN интерфейс в Proxy Interface
-
ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?
-
Попробуйте добавить в Outbond NAT на WAN правила, где в Source будут ваши 10.0.105.0/24 и 192.168.2.0/24,
Destination - * , а NAT-ся будет на WAN address. Выкладывайте скрин правил Outbond NAT и смотрите логи fw. -
нет, так не получилось… =( а, нет, получилось после добавления правила в fw (первые две строки на скрине)
Итак, спасибо большое за помощь в настройке, хочу узнать с точки зрения "правильности" - всё ли хорошо написано? И, вопрос - если я хочу запретить "всё", кроме необходимых портов, то нужно в fw удалить разрешающие правила на "всё" и добавить на определённые порты, так?
![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
![Firewall Rules.png](/public/imported_attachments/1/Firewall Rules.png)
![Firewall Rules.png_thumb](/public/imported_attachments/1/Firewall Rules.png_thumb)
![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb) -
Блин, только вот между подсетями 10.0.105.0 и 192.168.2.0 связи нет, (пинги с 10.0.105.207 до 192.168.2.9 проходят, а до других хостов нет. Опять нат что-то похоже, ибо fw пропускает)… вот лог с fw
Всё, сделал связь между ними, в нате добавил правила, аналогичные из 192.168.0.0
![Status System logs Firewall.png](/public/imported_attachments/1/Status System logs Firewall.png)
![Status System logs Firewall.png_thumb](/public/imported_attachments/1/Status System logs Firewall.png_thumb) -
Как бы так .
![2014-12-15 16_09_51.jpg](/public/imported_attachments/1/2014-12-15 16_09_51.jpg)
![2014-12-15 16_09_51.jpg_thumb](/public/imported_attachments/1/2014-12-15 16_09_51.jpg_thumb)
![2014-12-15 16_11_44.jpg](/public/imported_attachments/1/2014-12-15 16_11_44.jpg)
![2014-12-15 16_11_44.jpg_thumb](/public/imported_attachments/1/2014-12-15 16_11_44.jpg_thumb) -
ну да, это я понял, к красивому виду приведу, сейчас вот столкнулся, что сбербанк бизнес онлайн не работает (который с флешки запускается, если кто в курсе про них, изначально с ними проблема была что через прокси не хотели работать, напрямую прокидывались в iptables), хотя интернет есть… в логах пока ничего не заметил, но толком ещё и не смотрел, вопчем буду разбираться пока что
-
что через прокси не хотели работать
Добавьте их адреса\подсети в исключения squid-а (destination addresses)
P.s. А разве клиент сбера не по https работает?
-
да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?