Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Вопросы новичка по pfsense

    Scheduled Pinned Locked Moved Russian
    398 Posts 62 Posters 422.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • milleniumM
      millenium
      last edited by

      @oleg1969:

      @millenium:

      как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.

      Открыть в WINSCP usr/local/etc/lightsquid и отредактировать

      1 - realname.cfg примерно так

      192.168.1.2 Иванов И.И
      192.168.1.6    Asus-10
      192.168.1.11    Galaxy-A5
      192.168.1.12    Simens

      при желании и group.cfg примерно так

      192.168.1.2    Lan
      192.168.1.6 Lan
      192.168.1.11 Lan
      192.168.1.12    Lan

      Справа от адреса пишем что Вам нужно (фамилия итд )

      Ну и сделать refresh  lightsquid

      у меня ip адреса раздаются по DHCP раз в 3 месяца..

      как быть в этом случае?

      1 Reply Last reply Reply Quote 0
      • milleniumM
        millenium
        last edited by

        @oleg1969:

        А если клиентов добавить в DHCP Static Mappings for this Interface и присвоить им конкретные адреса

        Такой вариант работать будет, если

        DHCP сервер физически на другой машине, а не на этом же сервере pfsense.

        1 Reply Last reply Reply Quote 0
        • milleniumM
          millenium
          last edited by

          такой вопрос!

          при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

          как сделать, что бы на прямую отправлял?

          inet-robot.jpg_thumb
          inet-robot.jpg

          1 Reply Last reply Reply Quote 0
          • P
            PbIXTOP
            last edited by

            @millenium:

            такой вопрос!

            при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

            как сделать, что бы на прямую отправлял?

            Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

            1 Reply Last reply Reply Quote 0
            • A
              Algon
              last edited by

              Доброго времени суток.
              Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…

              Схема сети:
              Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.

              Вопрос №1.
              Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.

              Вопрос №2.
              Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.

              Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.

              Заранее благодарю за конструктивные ответы и советы.

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Доброе
                Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
                Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

                P.s. А в чем проблема icmp на WAN вообще закрыть ?

                1 Reply Last reply Reply Quote 0
                • A
                  Algon
                  last edited by

                  @werter:

                  Доброе
                  Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
                  Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение",  т.к. оч редко блокировала то, что не надо было.

                  P.s. А в чем проблема icmp на WAN вообще закрыть ?

                  ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
                  Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
                  Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.

                  З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @oleg1969:

                    Для общего развития и понимания советую почитать эту ссылку  ;)

                    http://salf-net.ru/?p=494

                    Спасибо за ссылку.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      2 Algon
                      https://www.youtube.com/watch?v=Mj4T8eYin3k
                      Неплохое видео по pfsense + snort (можно заменить suricata)

                      1 Reply Last reply Reply Quote 0
                      • N
                        NetWoolf
                        last edited by

                        у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

                        1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP
                          last edited by

                          @NetWoolf:

                          у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

                          Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
                          При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

                          1 Reply Last reply Reply Quote 0
                          • A
                            Algon
                            last edited by

                            @werter:

                            2 Algon
                            https://www.youtube.com/watch?v=Mj4T8eYin3k
                            Неплохое видео по pfsense + snort (можно заменить suricata)

                            Спасибо, но это не совсем то ))
                            На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

                              1 Reply Last reply Reply Quote 0
                              • milleniumM
                                millenium
                                last edited by

                                @PbIXTOP:

                                @millenium:

                                такой вопрос!

                                при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

                                как сделать, что бы на прямую отправлял?

                                Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

                                не подскажете как это реализовать, может инструкция есть?
                                заранее спасибо.

                                1 Reply Last reply Reply Quote 0
                                • B
                                  borg
                                  last edited by

                                  По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    artsi
                                    last edited by

                                    Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

                                    1 Reply Last reply Reply Quote 0
                                    • P
                                      PbIXTOP
                                      last edited by

                                      @artsi:

                                      Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

                                      Убрать разрешающее правило в Firewall'e

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        artsi
                                        last edited by

                                        а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

                                        1 Reply Last reply Reply Quote 0
                                        • P
                                          PbIXTOP
                                          last edited by

                                          @artsi:

                                          а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

                                          Как-то так, только интернет не только 80 порт.

                                          1 Reply Last reply Reply Quote 0
                                          • S
                                            Sheva
                                            last edited by

                                            Подскажите, где подсмотреть?
                                            pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
                                            Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин.  От нагрузки не зависит. сетевые карты менял.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.