Доступ в Интернет только с определенных л
-
Всем здравствуйте!
Сразу прошу сильно не пинать за глупые вопросы, с pfsense познакомился только 2 часа назад, до этого сидел на шлюзе Ideco,
который сильно достал своими глюками. В Рунете сильно хвалят pfsense, поэтому версия 2.2.5 установлена на виртуалку и тестируется как новый шлюз.
Вроде все настроил, инет есть, но вот какая проблема - доступ в инет никак не контролируется.
Установил пакеты squad, squadquard (который пока не включен), в настройках squad снял галки Allow users on interface - чтобы инет по умолчанию прикрыть всем,
поставил галку Transparent proxy - чтобы был прозрачный прокси. При данных настройках, и при пустых полях на закладке Access control, по идее, инет не должно быть ни у кого.
Однако он есть - на админском PC, с которого я и захожу в web-интерфейс pfsense. Пробовал снять галку Transparent proxy - все равно инет есть.
Подскажите, пожалуйста, как, с помощью одного squad (работающего в прозрачном режиме) разрешить доступ в инет только определенным ip, например, 10.1.2.5?
Или же для этого обязательно нужно писать правила в firewall?
Заранее, спасибо за ответ. -
посмотри закладку в сквиде Proxy Server: Access Control вот там и настроишь.
-
посмотри закладку в сквиде Proxy Server: Access Control вот там и настроишь.
NegoroX, да я там и пытался настраивать, добавлял в поле Allow subnets и ip и маски подсетей, отличных от моего админского ip - все равно инет есть…
Может, еще нужно где что включить? -
банит нормально, другое дело, что банит только когда обращаешься к http а httpS пропускает,
правильней закрыть в Firewall: Rules -
Доброе
Покажите скрин правил fw на LAN.
Ели у Вас там разрешено всё и всем, то так и будет. -
Доброе
Покажите скрин правил fw на LAN.
Ели у Вас там разрешено всё и всем, то так и будет.werter, да, в firewall все разрешено, я ведь и спрашиваю, можно ли, без использования fw, одними настройками прокси (в частности, закладкой Access control в настройках Squid) регулировать доступ разным ip к интернету? Получается, что нельзя, и для такого доступа нужно обязательно настраивать правила в fw? А тогда настройки Access control на что влияют? (подразумевается прозрачная работа прокси).
-
Доброе
Покажите скрин правил fw на LAN.
Ели у Вас там разрешено всё и всем, то так и будет.werter, да, в firewall все разрешено, я ведь и спрашиваю, можно ли, без использования fw, одними настройками прокси (в частности, закладкой Access control в настройках Squid) регулировать доступ разным ip к интернету? Получается, что нельзя, и для такого доступа нужно обязательно настраивать правила в fw? А тогда настройки Access control на что влияют? (подразумевается прозрачная работа прокси).
Если вкл. прокси - то правилами в прокси.
Если выкл. прокси - то правилами fwУ Вас выкл. прокси и в правилах fw разрешено. Вот по этому есть доступ к Сети.
Логично, правда ? -
werter, а как включить прокси?
Я вот сейчас пробую, поднял тестовую лабораторию.
Первая вирт.машина (ВМ) - с pfSense 2.2.5 x64, имеет внутренний ip 10.1.2.9
две другие ВМ с WinXP, с ip 10.1.2.1 и 10.1.2.2, типа клиенты шлюза.
На клиентах, в настройка сети, я поставил основным шлюзом внутренний ip pfSense - 10.1.2.9, и его же основным DNS.
В web настройках pfsense ничего не менял, кроме установки squid, в настройках которого поставл галку:
Allow users on interface - т.е. чтобы все клиенты шлюза шли через этот прокси.
Галку Transparent proxy не ставил, она снята, т.е. прокси работает не в прозрачном режиме, и при обращении к Инету с клиентов должна запрашиваться авторизация - логин и пароль.
На закладке Access Control в поле Allowed subnets вставил ip второго клиента - 10.1.2.2/32, если вставлять просто ip 10.1.2.2 то пишет ошибку, нужно указывать именно с маской, я так понял, что маска 255.255.255.255 или 32 указывает на конкретный ip. Впрочем, если оставить все поля пустые на Access Control - результат тот же.
На закладке Auth Settings я пробовал ставить Authentication method и в None и в Local - один результат, с обоих клиентов инет есть и никак не ограничивается, и без запроса пароля к прокси. Такое впечатление, что прокси действительно где-то выключен и Инет через шлюз раздается клиентам в обход прокси.
Естественно, в Firewall -> Rules -> LAN все разрешено, ведь я пытаюсь ограничить Инет клиентам не с помощью firewall, а с помощью прокси.
Буду благодарен за любой совет в данной ситуации…PS: В Status -> Services все службы, включая squid - зеленый Running
PPS: в полях Bypass proxy for these source IPs и Bypass proxy for these destination IPs ничего нет, т.е. не определены ip, которые будут ходить в Инет в обход прокси. -
на клиентах прокси сервер настроить нужно, раз вы хотите всех через прокси пускать, в браузере IP адрес и порт прокси сервера, ваши клиенты об этом не знают, они знают только шлюз… и с масками не понятно, зачем вам 32 маска, вы ее как в локальной сети использовать собираетесь?
-
на клиентах прокси сервер настроить нужно, раз вы хотите всех через прокси пускать, в браузере IP адрес и порт прокси сервера, ваши клиенты об этом не знают, они знают только шлюз… и с масками не понятно, зачем вам 32 маска, вы ее как в локальной сети использовать собираетесь?
Я хочу, чтобы прокси работал в прозрачном режиме, при таком режиме настройка прокси у клиентов не требуется, галку Transparent proxy я пробовал и ставить, и снимать - один и тот же результат.
маска сети 32, как я понимаю, используется для указания подсети только из одного статического ip, т.к., если в поле Allowed subnets вставить просто один ip 10.1.2.2, то сохранить не дает, ругается, что нужно с маской указывать.
Впрочем, чтобы я не писал в поле Allowed subnets, на результат это никак не влияет - инет как был у обоих клиентов, так и есть… -
поле Allowed subnets - разрешенные подсети, кому разрешено использовать прокси, поле Banned Hosts Addresses - перечисляете или IP или подсети, которым хотите запретить использовать прокси(все прекрасно работает). А вообще вам уже писали, что лучше, да и правильнее, настроить fw, где можно создать алиасы, создать для них правила в fw, и исправления в дальнейшем вносить в alias. Наверняка появится потребность не только дать доступ в интернет, но и разрешить или запретить работу различных служб и приложений, значит указываете порты для этих служб, поэтому fw придется настраивать…