Вопросы новичка по pfsense

millenium

Squid RealTime stat 1.20 for the proxy server (unknown) (127.0.0.1:3128).
Auto refresh: 
3
sec.  Update  Stop Created at: 10:21:42 29/01/2017
SqStat error
Error (1): Cannot get data. Server answered: HTTP/1.1 301 Moved Permanently

This file is automatically generated by pfSense

Do not edit manually !

http_port 192.168.23.22:3128
http_port 127.0.0.1:3128
icp_port 0
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language ru
icon_directory /usr/local/etc/squid/icons
visible_hostname proxy
cache_mgr it@ies-prikame.ru
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pinger

logfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 seconds

Allow local network(s) on interface(s)

acl localnet src  192.168.23.0/24 127.0.0.0/8
forwarded_for on
uri_whitespace strip

acl dynamic urlpath_regex cgi-bin ?
cache deny dynamic

cache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 1000 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow all

Add any of your own refresh_pattern entries above these.

refresh_pattern ^ftp:    1440  20%  10080
refresh_pattern ^gopher:  1440  0%  1440
refresh_pattern -i (/cgi-bin/|?) 0  0%  0
refresh_pattern .    0  20%  4320

#Remote proxies

Setup some default acls

ACLs all, manager, localhost, and to_localhost are predefined.

acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1983 3128 3129 1025-65535
acl sslports port 443 563 1983

acl purge method PURGE
acl connect method CONNECT

Define protocols used for redirects

acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

Always allow localhost connections

http_access allow localhost

request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrc

Reverse Proxy settings

Package Integration

url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0

Custom options before auth

acl noauth src 192.168.21.0/24 192.168.26.0/24 192.168.18.0/24 192.168.22.0/24 192.168.28.0/24 192.168.25.0/24 192.168.26.0/24 192.168.27.0/24 192.168.29.0/24 192.168.24.0/24
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Ваш логин от window.
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIRED

Custom options after auth

http_access allow noauth
http_access allow password localnet

Default block all to be sure

http_access deny allsrc

icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024

icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
adaptation_access service_avi_resp allow all

millenium

как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.

Настроено Squid Authentication NTLM и домен 2012R2

millenium

@oleg1969:

@millenium:

как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.

Открыть в WINSCP usr/local/etc/lightsquid и отредактировать

1 - realname.cfg примерно так

192.168.1.2 Иванов И.И
192.168.1.6    Asus-10
192.168.1.11    Galaxy-A5
192.168.1.12    Simens

при желании и group.cfg примерно так

192.168.1.2    Lan
192.168.1.6 Lan
192.168.1.11 Lan
192.168.1.12    Lan

Справа от адреса пишем что Вам нужно (фамилия итд )

Ну и сделать refresh  lightsquid

у меня ip адреса раздаются по DHCP раз в 3 месяца..

как быть в этом случае?

millenium

@oleg1969:

А если клиентов добавить в DHCP Static Mappings for this Interface и присвоить им конкретные адреса

Такой вариант работать будет, если

DHCP сервер физически на другой машине, а не на этом же сервере pfsense.

millenium

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

PbIXTOP

@millenium:

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

Algon

Доброго времени суток.
Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…

Схема сети:
Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.

Вопрос №1.
Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.

Вопрос №2.
Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.

Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.

Заранее благодарю за конструктивные ответы и советы.

werter

Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

P.s. А в чем проблема icmp на WAN вообще закрыть ?

Algon

@werter:

Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

P.s. А в чем проблема icmp на WAN вообще закрыть ?

ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.

З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.

werter

@oleg1969:

Для общего развития и понимания советую почитать эту ссылку  ;)

http://salf-net.ru/?p=494

Спасибо за ссылку.

werter

2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)

NetWoolf

у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

PbIXTOP

@NetWoolf:

у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

Algon

@werter:

2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)

Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

werter

Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

millenium

@PbIXTOP:

@millenium:

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

не подскажете как это реализовать, может инструкция есть?
заранее спасибо.

borg

По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

artsi

Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

PbIXTOP

@artsi:

Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

Убрать разрешающее правило в Firewall'e

artsi

а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?