Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Вопросы новичка по pfsense

    Scheduled Pinned Locked Moved Russian
    398 Posts 62 Posters 483.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • milleniumM
      millenium
      last edited by

      вот такая ошибка всплывает, когда по началу открывается браузер и сайты на https

      помогите победить..  :)

      asadasd.jpg
      asadasd.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе
        1. Отобрать права Администратора у всех пол-лей.

        2. http://bfy.tw/9i0n
        Цитата с сайта этого же ПО . Первая ссылка в гугле :
        I

        f you would like to prevent your employees from installing LogMeIn on their work computer, you should block secure.logmein.com on your firewall(s).

        1 Reply Last reply Reply Quote 0
        • milleniumM
          millenium
          last edited by

          Squid RealTime stat 1.20 for the proxy server (unknown) (127.0.0.1:3128).
          Auto refresh: 
          3
          sec.  Update  Stop Created at: 10:21:42 29/01/2017
          SqStat error
          Error (1): Cannot get data. Server answered: HTTP/1.1 301 Moved Permanently

          This file is automatically generated by pfSense

          Do not edit manually !

          http_port 192.168.23.22:3128
          http_port 127.0.0.1:3128
          icp_port 0
          dns_v4_first off
          pid_filename /var/run/squid/squid.pid
          cache_effective_user squid
          cache_effective_group proxy
          error_default_language ru
          icon_directory /usr/local/etc/squid/icons
          visible_hostname proxy
          cache_mgr it@ies-prikame.ru
          access_log /var/squid/logs/access.log
          cache_log /var/squid/logs/cache.log
          cache_store_log none
          netdb_filename /var/squid/logs/netdb.state
          pinger_enable on
          pinger_program /usr/local/libexec/squid/pinger

          logfile_rotate 0
          debug_options rotate=0
          shutdown_lifetime 3 seconds

          Allow local network(s) on interface(s)

          acl localnet src  192.168.23.0/24 127.0.0.0/8
          forwarded_for on
          uri_whitespace strip

          acl dynamic urlpath_regex cgi-bin ?
          cache deny dynamic

          cache_mem 64 MB
          maximum_object_size_in_memory 256 KB
          memory_replacement_policy heap GDSF
          cache_replacement_policy heap LFUDA
          minimum_object_size 0 KB
          maximum_object_size 4 MB
          cache_dir ufs /var/squid/cache 1000 16 256
          offline_mode off
          cache_swap_low 90
          cache_swap_high 95
          cache allow all

          Add any of your own refresh_pattern entries above these.

          refresh_pattern ^ftp:    1440  20%  10080
          refresh_pattern ^gopher:  1440  0%  1440
          refresh_pattern -i (/cgi-bin/|?) 0  0%  0
          refresh_pattern .    0  20%  4320

          #Remote proxies

          Setup some default acls

          ACLs all, manager, localhost, and to_localhost are predefined.

          acl allsrc src all
          acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1983 3128 3129 1025-65535
          acl sslports port 443 563 1983

          acl purge method PURGE
          acl connect method CONNECT

          Define protocols used for redirects

          acl HTTP proto HTTP
          acl HTTPS proto HTTPS
          http_access allow manager localhost

          http_access deny manager
          http_access allow purge localhost
          http_access deny purge
          http_access deny !safeports
          http_access deny CONNECT !sslports

          Always allow localhost connections

          http_access allow localhost

          request_body_max_size 0 KB
          delay_pools 1
          delay_class 1 2
          delay_parameters 1 -1/-1 -1/-1
          delay_initial_bucket_level 100
          delay_access 1 allow allsrc

          Reverse Proxy settings

          Package Integration

          url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
          url_rewrite_bypass off
          url_rewrite_children 16 startup=8 idle=4 concurrency=0

          Custom options before auth

          acl noauth src 192.168.21.0/24 192.168.26.0/24 192.168.18.0/24 192.168.22.0/24 192.168.28.0/24 192.168.25.0/24 192.168.26.0/24 192.168.27.0/24 192.168.29.0/24 192.168.24.0/24
          auth_param ntlm program /usr/local/libexec/squid/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
          auth_param ntlm children 20
          auth_param ntlm keep_alive off
          auth_param basic program /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-basic
          auth_param basic children 5
          auth_param basic realm Ваш логин от window.
          auth_param basic credentialsttl 5 minutes
          acl password proxy_auth REQUIRED

          Custom options after auth

          http_access allow noauth
          http_access allow password localnet

          Default block all to be sure

          http_access deny allsrc

          icap_enable on
          icap_send_client_ip on
          icap_send_client_username on
          icap_client_username_encode off
          icap_client_username_header X-Authenticated-User
          icap_preview_enable on
          icap_preview_size 1024

          icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
          adaptation_access service_avi_req allow all
          icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
          adaptation_access service_avi_resp allow all

          1 Reply Last reply Reply Quote 0
          • milleniumM
            millenium
            last edited by

            как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.

            Настроено Squid Authentication NTLM и домен 2012R2

            1 Reply Last reply Reply Quote 0
            • milleniumM
              millenium
              last edited by

              @oleg1969:

              @millenium:

              как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.

              Открыть в WINSCP usr/local/etc/lightsquid и отредактировать

              1 - realname.cfg примерно так

              192.168.1.2 Иванов И.И
              192.168.1.6    Asus-10
              192.168.1.11    Galaxy-A5
              192.168.1.12    Simens

              при желании и group.cfg примерно так

              192.168.1.2    Lan
              192.168.1.6 Lan
              192.168.1.11 Lan
              192.168.1.12    Lan

              Справа от адреса пишем что Вам нужно (фамилия итд )

              Ну и сделать refresh  lightsquid

              у меня ip адреса раздаются по DHCP раз в 3 месяца..

              как быть в этом случае?

              1 Reply Last reply Reply Quote 0
              • milleniumM
                millenium
                last edited by

                @oleg1969:

                А если клиентов добавить в DHCP Static Mappings for this Interface и присвоить им конкретные адреса

                Такой вариант работать будет, если

                DHCP сервер физически на другой машине, а не на этом же сервере pfsense.

                1 Reply Last reply Reply Quote 0
                • milleniumM
                  millenium
                  last edited by

                  такой вопрос!

                  при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

                  как сделать, что бы на прямую отправлял?

                  inet-robot.jpg_thumb
                  inet-robot.jpg

                  1 Reply Last reply Reply Quote 0
                  • P
                    PbIXTOP
                    last edited by

                    @millenium:

                    такой вопрос!

                    при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

                    как сделать, что бы на прямую отправлял?

                    Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

                    1 Reply Last reply Reply Quote 0
                    • A
                      Algon
                      last edited by

                      Доброго времени суток.
                      Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…

                      Схема сети:
                      Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.

                      Вопрос №1.
                      Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.

                      Вопрос №2.
                      Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.

                      Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.

                      Заранее благодарю за конструктивные ответы и советы.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Доброе
                        Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
                        Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

                        P.s. А в чем проблема icmp на WAN вообще закрыть ?

                        1 Reply Last reply Reply Quote 0
                        • A
                          Algon
                          last edited by

                          @werter:

                          Доброе
                          Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
                          Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

                          P.s. А в чем проблема icmp на WAN вообще закрыть ?

                          ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
                          Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
                          Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.

                          З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            @oleg1969:

                            Для общего развития и понимания советую почитать эту ссылку  ;)

                            http://salf-net.ru/?p=494

                            Спасибо за ссылку.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              2 Algon
                              https://www.youtube.com/watch?v=Mj4T8eYin3k
                              Неплохое видео по pfsense + snort (можно заменить suricata)

                              1 Reply Last reply Reply Quote 0
                              • N
                                NetWoolf
                                last edited by

                                у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

                                1 Reply Last reply Reply Quote 0
                                • P
                                  PbIXTOP
                                  last edited by

                                  @NetWoolf:

                                  у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

                                  Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
                                  При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    Algon
                                    last edited by

                                    @werter:

                                    2 Algon
                                    https://www.youtube.com/watch?v=Mj4T8eYin3k
                                    Неплохое видео по pfsense + snort (можно заменить suricata)

                                    Спасибо, но это не совсем то ))
                                    На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

                                      1 Reply Last reply Reply Quote 0
                                      • milleniumM
                                        millenium
                                        last edited by

                                        @PbIXTOP:

                                        @millenium:

                                        такой вопрос!

                                        при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

                                        как сделать, что бы на прямую отправлял?

                                        Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

                                        не подскажете как это реализовать, может инструкция есть?
                                        заранее спасибо.

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          borg
                                          last edited by

                                          По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            artsi
                                            last edited by

                                            Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.