настройка firewall pfsense 2.1.5 если локальные сети за пров

CheBurashka

нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ


werter

И я бы все же 3-е правило на WAN в самый низ поставил.

CheBurashka

ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как)  - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?

ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек


werter

Последний скрин - выберите и WAN интерфейс  в Proxy Interface

CheBurashka

ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?

werter

Попробуйте добавить в Outbond NAT на WAN правила, где в Source будут ваши 10.0.105.0/24 и 192.168.2.0/24,
Destination - * , а NAT-ся будет на WAN address. Выкладывайте скрин правил Outbond NAT и смотрите логи fw.

CheBurashka

нет, так не получилось… =( а, нет, получилось после добавления правила в fw (первые две строки на скрине)

Итак, спасибо большое за помощь в настройке, хочу узнать с точки зрения "правильности" - всё ли хорошо написано? И, вопрос - если я хочу запретить "всё", кроме необходимых портов, то нужно в fw удалить разрешающие правила на "всё" и добавить на определённые порты, так?


CheBurashka

Блин, только вот между подсетями 10.0.105.0 и 192.168.2.0 связи нет, (пинги с 10.0.105.207 до 192.168.2.9 проходят, а до других хостов нет. Опять нат что-то похоже, ибо fw пропускает)… вот лог с fw

Всё, сделал связь между ними, в нате добавил правила, аналогичные из 192.168.0.0


werter

Как бы так .


CheBurashka

ну да, это я понял, к красивому виду приведу, сейчас вот столкнулся, что сбербанк бизнес онлайн не работает (который с флешки запускается, если кто в курсе про них, изначально с ними проблема была что через прокси не хотели работать, напрямую прокидывались в iptables), хотя интернет есть… в логах пока ничего не заметил, но толком ещё и не смотрел, вопчем буду разбираться пока что

werter

что через прокси не хотели работать

Добавьте их адреса\подсети в исключения squid-а (destination addresses)

P.s. А разве клиент сбера не по https работает?

CheBurashka

да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?