Вопросы новичка по pfsense
-
Люди объясните чайнику.
Сейчас разбираюсь с IPFW и тут есть такой блок Source и Destination (логически я понимаю что первое это источник а второе место назначение)
НО не могли бы для чайника на пальцах рассказать или ткнуть в мануал где описывается логика этих блоков.И самое главное какую роль играет чекбокс Invert match.
Заранее большое спасибо!
-
@nvm:
Люди объясните чайнику.
Сейчас разбираюсь с IPFW и тут есть такой блок Source и Destination (логически я понимаю что первое это источник а второе место назначение)
НО не могли бы для чайника на пальцах рассказать или ткнуть в мануал где описывается логика этих блоков.И самое главное какую роль играет чекбокс Invert match.
Заранее большое спасибо!
Упрощенно:
Для того, что исходит из LAN - Любые IP вашей LAN\Вся LAN - это Source, то куда уходит (WAN\иной интерфейс) - Destination.
Для WAN - наоборот.
Invert match меняет логику работы правила, напрмер
правило
drop IPv4 * 10.11.11.250 * **!**10.0.2.5 * * none
будет отбрасывать все пакеты, которые приходят от 10.11.11.250, кроме тех, котрые предназначены для 10.0.2.5
а правило
drop IPv4 * 192.168.0.0/24 * **!**10.0.2.5 * * none
будет отбрасывать все пакеты, которые приходят из сети 192.168.0.0/24, кроме тех, котрые предназначены для 10.0.2.5
!- общепринятое обозначение Invert match
-
Всем добрый день.
Я снова с вопросом.
Поставил на сервере связку squid + SquidGuard
вопрос такой, мне нужно максимально заблокировать доступ на скачку файлов.
Делал по инструкции: http://www.thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.htmlНо тут два вопроса:
-
в этих регулярных приложениях допустим стоит параметр wav в правиле (mp3|wav|avi|mp4|mpeg4|ac3|flv|torrent)
то он будет блокировать любой сайт где в URL есть совпадения слова wav ???? -
если идет скачка с https то эти правила на скачку как я понимаю не работают?
PS вопрос именно такой что бы блокировка шла именно по расширению при скачке (например http://cdndl.zaev.net/259213/4107062/carla_s_dreams_-sub_pielea_mea(zaycev.net).mp3** ) а не при совпадении в URL (хорошийсайт.ру/полезные статьи/chem-open-file-mp3-na-kompe.html)
Заранее большое спасибо.
PSS если я тут сморозил глупость простите( -
-
Доброе.
Попробуйте
.(.mp3$|.avi$|.mp4$) или ..(mp3|wav|avi|mp4|mpeg4|ac3|flv|torrent)$Жестче
.*.([Mm][Pp]3**|[Ww][Aa][Vv]|[Aa][Vv][Ii]|[Mm][Pp]4|[Mm][Pp][Ee][Gg]4|[Aa][Cc]3|[Ff][Ll][Vv]|[Oo][Rr][Rr][Ee][Nn])$**Или же поищите как блокировать по mime-типу.
И не забудьте Apply жать.
Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак илиhttp:\\..mail.ru. - соответствует http:\.mail.ru
..mail.ru.((.exe$)|(.php$)|(.zip$)) - соответствует .mail.ru.exe или .mail.ru.php или .mail.ru.zip[0-9]* - любая строка из цифр
[a-zA-Z0-9] - любая цифро-буквенная строка с латиницей -
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
-
@nvm:
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
Сброс соединения происходит из-за асимметричной конфигурации сети.
Если для всех шлюзом является pfSense и второй маршрутизатор находится в одной подсети с клиентами, то самый простой вариант дополнительно NAT'ить пакеты в соседнюю сеть -
@nvm:
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
Сброс соединения происходит из-за асимметричной конфигурации сети.
Если для всех шлюзом является pfSense и второй маршрутизатор находится в одной подсети с клиентами, то самый простой вариант дополнительно NAT'ить пакеты в соседнюю сетьДа pfSense является шлюзом по умолчанию
второй маршрутизатор - да он находится в одой сети и lan у него имеет наш внутренний ip- подскажите как настроить теперь nat?
Заранее большое спасибо
-
@nvm:
@nvm:
werter спасибо большое за шпаргалку.
Возник другой вопрос.
у меня в конторе стоит шлюз на freebsd через который все бегают в интернет
и стоит второй шлюз который соединяется с головной конторой и там пакетики бегают только между нашими сетями.в Pfsense прописал
- System - Routing - Gateways - ip(внутренний 192.168.0.0) второго шлюза который соединяет наши конторы
- System - Routing - Static Routes прописал подсети и второй шлюз который создал в первом пункте.
и вроде все работает и проходит подключение, но через каждые 5 секунд сбрасывается или происходит переподключение.
и не могу понять что может быть не так, сравнивал netstat -rn они одинаковые что на freebsd что на pfsense
Дайте совет в какую сторону копать почему может идти сброс соединения?
Сброс соединения происходит из-за асимметричной конфигурации сети.
Если для всех шлюзом является pfSense и второй маршрутизатор находится в одной подсети с клиентами, то самый простой вариант дополнительно NAT'ить пакеты в соседнюю сетьДа pfSense является шлюзом по умолчанию
второй маршрутизатор - да он находится в одой сети и lan у него имеет наш внутренний ip- подскажите как настроить теперь nat?
Заранее большое спасибо
Варианта кстати 2:
-
через DHCP или статически на клиентах указать маршрут на удаленную сеть через второй маршрутизатор.
-
воспользоваться закрепленными темами и поискать статью о настройке доступа к RDP через pfSense когда он не является маршрутизатором по умолчанию для сети.
-
Приветствую.
В школе вместо ограниченного 15-ю сессиями usergate поставил отдельную железку с pfsense (набрел на него в поисках альтернативы usergate).
Схема получилась такая:
192.168.17.1 - pfsense
192.168.17.2 - контроллер домена (AD, WS2008r2)В настройках DNS для рабочих станций в pfsense указан первым 192.168.17.2
Вторым 192.168.17.1
С этими настройками сетевые папки работают и авторизация пользователей в AD проходит на ура.Теперь необходимо компьютерный класс (с ученическими машинами) пропустить через Яндекс.ДНС.
Подскажите, возможно ли это сделать (и как, если да) средствами pfsense?
Благодарю за помощь.
-
Теперь необходимо компьютерный класс (с ученическими машинами) пропустить через Яндекс.ДНС.
А зачем выделять - просто выпускайте всех. У меня так клиенты сидят по умолчанию, хоть бы кто пожаловался, что некоторые сайты не открываються.
Как вариант squid умеет задавать отдельный DNS для работы. -
2 gulin
1. Вы молодец, что начали исп. открытое ПО.
2. Можно принудительно заставить пол-лей исп. те адреса DNS, к-ые вам необходимы. В настройках пф вы выставляете исп. Я. ДНС.
Вкл. DHCP на пф. Пол-ли будут автоматом по DHCP получать в кач-ве ДНС (и шлюза) лок. адрес. пф.
Далее, для принуд. исп. адреса ДНС нужно создать правило портфорв. на LAN, где в src будет LAN net -
Ребят подскажите что делать? Установил пиСенсе последнею версию. Интернет ходит только через https, http - не прогружает страницы. Что делать? Вроде как слышал что надо непрозрачный режим выставить, но как его настроить по шагам если можно детально.
-
2 dak20
Доброе.
Мало инф-ции.Скрины правил fw, какие пакеты установлены etc.
-
С оф. сайта скачал дистрибутив последний, с флешки установил.В компе две сетевых. Одна на модем другая в сетку. Все раздается. Интернет ходит но Http нет, Https без проблем. Никаких правил, ничего ни делал, инфы нигде нет. Где куда смотреть даже не знаю. Как сделать что бы по http все работало. Потом буду ставить сквид для блокировки сайтов.
2 dak20
Доброе.
Мало инф-ции.Скрины правил fw, какие пакеты установлены etc.
-
открой закладку Firewall: Rules
там увидишь Floating WAN LAN
на ван лан добавь правила разрешающие все всем примерно так будет выглядеть
IPv4 TCP * * * * * none
должно забегать и ipconfig /all с любого компа выложи, а также схему твоей сетки.
(доп. пакеты типа squid squidguard надеюсь пока не ставил? -
Это правило должно быть на LAN, pfSense создает его обычно сам как
IPv4 * LAN net * * * * none Default allow LAN to any rule
и перед ним для начала не должно быть запрещающих правил. -
Привет всем !
pfSense является шлюзом по умолчанию
подскажите как запретить пользоваться программой удаленного соединения LogMeIn Hamachi в локальной сети уже замучился ломится на 443 порт и спокойно работает.
443 порт запрещать нельзя . -
вот такая ошибка всплывает, когда по началу открывается браузер и сайты на https
помогите победить.. :)
-
Доброе
1. Отобрать права Администратора у всех пол-лей.2. http://bfy.tw/9i0n
Цитата с сайта этого же ПО . Первая ссылка в гугле :
If you would like to prevent your employees from installing LogMeIn on their work computer, you should block secure.logmein.com on your firewall(s).
-
Squid RealTime stat 1.20 for the proxy server (unknown) (127.0.0.1:3128).
Auto refresh:
3
sec. Update Stop Created at: 10:21:42 29/01/2017
SqStat error
Error (1): Cannot get data. Server answered: HTTP/1.1 301 Moved PermanentlyThis file is automatically generated by pfSense
Do not edit manually !
http_port 192.168.23.22:3128
http_port 127.0.0.1:3128
icp_port 0
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language ru
icon_directory /usr/local/etc/squid/icons
visible_hostname proxy
cache_mgr it@ies-prikame.ru
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pingerlogfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 192.168.23.0/24 127.0.0.0/8
forwarded_for on
uri_whitespace stripacl dynamic urlpath_regex cgi-bin ?
cache deny dynamiccache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 1000 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow allAdd any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320#Remote proxies
Setup some default acls
ACLs all, manager, localhost, and to_localhost are predefined.
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1983 3128 3129 1025-65535
acl sslports port 443 563 1983acl purge method PURGE
acl connect method CONNECTDefine protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrcReverse Proxy settings
Package Integration
url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0Custom options before auth
acl noauth src 192.168.21.0/24 192.168.26.0/24 192.168.18.0/24 192.168.22.0/24 192.168.28.0/24 192.168.25.0/24 192.168.26.0/24 192.168.27.0/24 192.168.29.0/24 192.168.24.0/24
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Ваш логин от window.
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIREDCustom options after auth
http_access allow noauth
http_access allow password localnetDefault block all to be sure
http_access deny allsrc
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
adaptation_access service_avi_resp allow all
