Вопросы новичка по pfsense
-
а есть ли коллеги у которых версия pfSense такая же как и у меня и у них доступны "available packages" из сети?
Вот моя версия:
2.1-RELEASE (i386)
built on Wed Sep 11 18:16:22 EDT 2013
FreeBSD 8.3-RELEASE-p11 -
Ну собственно…
Обновился автоматически… на всё про всё около 20 минут ушло. Пакеты "available packages" сразу стали доступны.
-
Подскажите, есть задача организовать инет от двух провайдеров в локалку небольшую, плюс закрыть доступ из локалки в соцсети по https и не только, прокся нужна прозрачная, в качестве железа есть старенький НР пролиант МЛ110 на целероне Д, стоит ли ставить pfSence?
-
Подскажите, есть задача организовать инет от двух провайдеров в локалку небольшую, плюс закрыть доступ из локалки в соцсети по https и не только, прокся нужна прозрачная, в качестве железа есть старенький НР пролиант МЛ110 на целероне Д, стоит ли ставить pfSence?
Доброе.
Что мешает попробовать-оценить ?Зы. Если есть что-то мощнее - вполне можно исп. пф как вирт. машину.
-
мешает отсутствие опыта работы с никсами, а в коментах почитал у всех проблемы с https и сквидом, потом хрен разберусь то ли я тупой, то ли в проге трабла, поэтому и спрашиваю, может не стоит и замарачиваться, инет можно коммутировать и руками а юзверам надавать по рукам за социалки :), да и есть вроде другие варианты линей под роутер.
-
Коллеги, вновь прошу помощи.
Обновился до 2.3.2-RELEASE (i386) built on Tue Jul 19 13:09:39 CDT 2016 FreeBSD 10.3-RELEASE-p5
Поставил нужные пакеты squid и SquidGuard.
Как только запускаю Squid Proxy часть ресурсов перестаёт открываться и выводит такую картинку:
или
192.168.1.7 - ip адрес самого шлюза pfSenseПри этом например mail.ru работает нормально.
Что смотреть? Куда копать? Какие логи Вам показать? Я склоняюсь к тому что каких-то галок не хватает в PackageProxy Server -> General Settings -> General -
Доброе
Кеш чистили\пересоздавали ? По squid -z поищите. Или пакет удалите, почистите все и установите заново. -
ДД.
Нашёл это: http://forum.lissyara.su/viewtopic.php?t=10626Сделал это:
Всё верно? Пакеты после заново поставил, результат тот же… Squid как-то не так работает. Что ещё можно сделать? -
Всем доброго утра. Подскажите пожалуйста каким образом заблокировать социальные сети aliase-ми всем пользователям LAN сети, но чтобы на определённые ip адреса эти ограничения не распространялись.
-
Всем доброго утра. Подскажите пожалуйста каким образом заблокировать социальные сети aliase-ми всем пользователям LAN сети, но чтобы на определённые ip адреса эти ограничения не распространялись.
Используйте прокси для всех в сети в обязательном порядке. И блокируйте-разрешайте через него.
-
Люди объясните чайнику.
Сейчас разбираюсь с IPFW и тут есть такой блок Source и Destination (логически я понимаю что первое это источник а второе место назначение)
НО не могли бы для чайника на пальцах рассказать или ткнуть в мануал где описывается логика этих блоков.И самое главное какую роль играет чекбокс Invert match.
Заранее большое спасибо!
-
@nvm:
Люди объясните чайнику.
Сейчас разбираюсь с IPFW и тут есть такой блок Source и Destination (логически я понимаю что первое это источник а второе место назначение)
НО не могли бы для чайника на пальцах рассказать или ткнуть в мануал где описывается логика этих блоков.И самое главное какую роль играет чекбокс Invert match.
Заранее большое спасибо!
Упрощенно:
Для того, что исходит из LAN - Любые IP вашей LAN\Вся LAN - это Source, то куда уходит (WAN\иной интерфейс) - Destination.
Для WAN - наоборот.
Invert match меняет логику работы правила, напрмер
правило
drop IPv4 * 10.11.11.250 * **!**10.0.2.5 * * none
будет отбрасывать все пакеты, которые приходят от 10.11.11.250, кроме тех, котрые предназначены для 10.0.2.5
а правило
drop IPv4 * 192.168.0.0/24 * **!**10.0.2.5 * * none
будет отбрасывать все пакеты, которые приходят из сети 192.168.0.0/24, кроме тех, котрые предназначены для 10.0.2.5
!- общепринятое обозначение Invert match
-
Всем добрый день.
Я снова с вопросом.
Поставил на сервере связку squid + SquidGuard
вопрос такой, мне нужно максимально заблокировать доступ на скачку файлов.
Делал по инструкции: http://www.thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.htmlНо тут два вопроса:
-
в этих регулярных приложениях допустим стоит параметр wav в правиле (mp3|wav|avi|mp4|mpeg4|ac3|flv|torrent)
то он будет блокировать любой сайт где в URL есть совпадения слова wav ???? -
если идет скачка с https то эти правила на скачку как я понимаю не работают?
PS вопрос именно такой что бы блокировка шла именно по расширению при скачке (например http://cdndl.zaev.net/259213/4107062/carla_s_dreams_-sub_pielea_mea(zaycev.net).mp3** ) а не при совпадении в URL (хорошийсайт.ру/полезные статьи/chem-open-file-mp3-na-kompe.html)
Заранее большое спасибо.
PSS если я тут сморозил глупость простите( -
-
Доброе.
Попробуйте
.(.mp3$|.avi$|.mp4$) или ..(mp3|wav|avi|mp4|mpeg4|ac3|flv|torrent)$Жестче
.*.([Mm][Pp]3**|[Ww][Aa][Vv]|[Aa][Vv][Ii]|[Mm][Pp]4|[Mm][Pp][Ee][Gg]4|[Aa][Cc]3|[Ff][Ll][Vv]|[Oo][Rr][Rr][Ee][Nn])$**Или же поищите как блокировать по mime-типу.
И не забудьте Apply жать.
Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак илиhttp:\\..mail.ru. - соответствует http:\.mail.ru
..mail.ru.((.exe$)|(.php$)|(.zip$)) - соответствует .mail.ru.exe или .mail.ru.php или .mail.ru.zip[0-9]* - любая строка из цифр
[a-zA-Z0-9] - любая цифро-буквенная строка с латиницей -
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
-
@nvm:
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
Сброс соединения происходит из-за асимметричной конфигурации сети.
Если для всех шлюзом является pfSense и второй маршрутизатор находится в одной подсети с клиентами, то самый простой вариант дополнительно NAT'ить пакеты в соседнюю сеть -
@nvm:
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
Сброс соединения происходит из-за асимметричной конфигурации сети.
Если для всех шлюзом является pfSense и второй маршрутизатор находится в одной подсети с клиентами, то самый простой вариант дополнительно NAT'ить пакеты в соседнюю сетьДа pfSense является шлюзом по умолчанию
второй маршрутизатор - да он находится в одой сети и lan у него имеет наш внутренний ip- подскажите как настроить теперь nat?
Заранее большое спасибо
-
@nvm:
@nvm:
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
Сброс соединения происходит из-за асимметричной конфигурации сети.
Если для всех шлюзом является pfSense и второй маршрутизатор находится в одной подсети с клиентами, то самый простой вариант дополнительно NAT'ить пакеты в соседнюю сетьДа pfSense является шлюзом по умолчанию
второй маршрутизатор - да он находится в одой сети и lan у него имеет наш внутренний ip- подскажите как настроить теперь nat?
Заранее большое спасибо
Варианта кстати 2:
-
через DHCP или статически на клиентах указать маршрут на удаленную сеть через второй маршрутизатор.
-
воспользоваться закрепленными темами и поискать статью о настройке доступа к RDP через pfSense когда он не является маршрутизатором по умолчанию для сети.
-
Приветствую.
В школе вместо ограниченного 15-ю сессиями usergate поставил отдельную железку с pfsense (набрел на него в поисках альтернативы usergate).
Схема получилась такая:
192.168.17.1 - pfsense
192.168.17.2 - контроллер домена (AD, WS2008r2)В настройках DNS для рабочих станций в pfsense указан первым 192.168.17.2
Вторым 192.168.17.1
С этими настройками сетевые папки работают и авторизация пользователей в AD проходит на ура.Теперь необходимо компьютерный класс (с ученическими машинами) пропустить через Яндекс.ДНС.
Подскажите, возможно ли это сделать (и как, если да) средствами pfsense?
Благодарю за помощь.
-
Теперь необходимо компьютерный класс (с ученическими машинами) пропустить через Яндекс.ДНС.
А зачем выделять - просто выпускайте всех. У меня так клиенты сидят по умолчанию, хоть бы кто пожаловался, что некоторые сайты не открываються.
Как вариант squid умеет задавать отдельный DNS для работы.
