• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Вопросы новичка по pfsense

Scheduled Pinned Locked Moved Russian
398 Posts 62 Posters 437.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • A
    Algon
    last edited by Feb 8, 2017, 9:33 AM

    @werter:

    2 Algon
    https://www.youtube.com/watch?v=Mj4T8eYin3k
    Неплохое видео по pfsense + snort (можно заменить suricata)

    Спасибо, но это не совсем то ))
    На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

    1 Reply Last reply Reply Quote 0
    • W
      werter
      last edited by Feb 8, 2017, 9:36 AM

      Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

      1 Reply Last reply Reply Quote 0
      • M
        millenium
        last edited by Feb 8, 2017, 1:16 PM

        @PbIXTOP:

        @millenium:

        такой вопрос!

        при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

        как сделать, что бы на прямую отправлял?

        Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

        не подскажете как это реализовать, может инструкция есть?
        заранее спасибо.

        1 Reply Last reply Reply Quote 0
        • B
          borg
          last edited by Feb 8, 2017, 2:34 PM Feb 8, 2017, 2:30 PM

          По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

          1 Reply Last reply Reply Quote 0
          • A
            artsi
            last edited by Feb 9, 2017, 8:03 AM

            Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

            1 Reply Last reply Reply Quote 0
            • P
              PbIXTOP
              last edited by Feb 9, 2017, 8:26 AM

              @artsi:

              Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

              Убрать разрешающее правило в Firewall'e

              1 Reply Last reply Reply Quote 0
              • A
                artsi
                last edited by Feb 9, 2017, 8:37 AM

                а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

                1 Reply Last reply Reply Quote 0
                • P
                  PbIXTOP
                  last edited by Feb 9, 2017, 9:29 AM

                  @artsi:

                  а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

                  Как-то так, только интернет не только 80 порт.

                  1 Reply Last reply Reply Quote 0
                  • S
                    Sheva
                    last edited by Feb 9, 2017, 8:26 PM

                    Подскажите, где подсмотреть?
                    pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
                    Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин.  От нагрузки не зависит. сетевые карты менял.

                    1 Reply Last reply Reply Quote 0
                    • B
                      borg
                      last edited by Feb 9, 2017, 10:33 PM

                      А что в логах пишет?

                      1 Reply Last reply Reply Quote 0
                      • A
                        artsi
                        last edited by Feb 10, 2017, 5:58 AM

                        PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
                        При подключении к удаленному внешнему серверу происходит мгновенная авторизация,  но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты,  ситуация везде одинакова. При использовании другого прокси-сервера, но  того-же софта - проблема исчезает. Т.е. дело в pfsense.  Подскажите в какую сторону копать?  (в файрволе, clam-e и сквиде ip-адрес фтп-ника  разрешен)

                        1 Reply Last reply Reply Quote 0
                        • W
                          werter
                          last edited by Feb 10, 2017, 9:48 AM

                          2 artsi
                          Доброе.
                          В каком режиме работает удаленный ftp ?
                          Вкл. логирование fw пф и смотрите на происходящее там.

                          1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother
                            last edited by Feb 10, 2017, 10:48 AM

                            Пакет FTP_Client_Proxy не пробовали?

                            1 Reply Last reply Reply Quote 0
                            • S
                              Sheva
                              last edited by Feb 10, 2017, 7:06 PM Feb 10, 2017, 11:32 AM

                              @borg:

                              А что в логах пишет?

                              в System logs появляются только в DHCP : https://yadi.sk/d/Us3R-lbH3DnSUQ
                              Shell Output - ifconfig: https://yadi.sk/d/Zy_UWtbA3DnVk5

                              Установил 2.1.5-RELEASE, работает шустрее, да и проблема вроде как ушла.
                              и не вроде, а ушла. Официальный новый релиз с сайта - глючный.

                              1 Reply Last reply Reply Quote 0
                              • W
                                werter
                                last edited by Feb 11, 2017, 10:43 AM

                                2 Sheva
                                Доброе.
                                Если в 2.3.х нет ftp proxy - это не означает, что он глючный. Конкретизируйте.

                                1 Reply Last reply Reply Quote 0
                                • D
                                  deicide
                                  last edited by Feb 13, 2017, 8:37 AM

                                  Добрый день.
                                  Ищу альтернативу Ideco,ICS.
                                  Количество пользователей примерно 150.
                                  Хотелось бы узнать несколько вопросов по возможностям данного продукта.
                                  Если можно то дайте пожалуйста ссылки, чтобы в дальнейшем избежать глупых вопросов.

                                  1. Создание списка пользователей, разбиение на группы (если есть возможность на добавление пользователей через сканирование сети или из списка)
                                  2. Проброс портов.
                                  3. Создание VPN соединения.
                                  4. И самое главное: возможна ли HTTPS фильтрация без подмены сертификата у пользователей и как её организовать?

                                  Заранее спасибо  всем тем кто окажет мне помощь в изучении данного продукта.

                                  1 Reply Last reply Reply Quote 0
                                  • W
                                    werter
                                    last edited by Feb 13, 2017, 8:49 AM

                                    Доброе

                                    1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
                                    2. Да.
                                    3. Да
                                    4. Пока нет.

                                    Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.

                                    P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      deicide
                                      last edited by Feb 13, 2017, 9:53 AM

                                      @werter:

                                      Доброе

                                      1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
                                      2. Да.
                                      3. Да
                                      4. Пока нет.

                                      Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.

                                      P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v

                                      1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.

                                      2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр  видео и некоторым сайтам ?

                                      Заранее спасибо.
                                      P.s. книгу нашел, изучаю видео-уроки.

                                      1 Reply Last reply Reply Quote 0
                                      • N
                                        NetWoolf
                                        last edited by Feb 13, 2017, 3:46 PM

                                        @PbIXTOP:

                                        @NetWoolf:

                                        у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

                                        Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
                                        При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

                                        http://img-host.org.ua/images/00000000fqf.jpg
                                        Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспот

                                        1 Reply Last reply Reply Quote 0
                                        • W
                                          werter
                                          last edited by Feb 13, 2017, 6:00 PM

                                          1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.

                                          Это что-то из мира фантастики.

                                          2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр  видео и некоторым сайтам ?

                                          Вот тут реализовали mitm для squidguard (форк пф) - http://distrowatch.com/?newsid=09714 . И вот тут http://www.nethserver.org/nethserver-7-final-released/

                                          1 Reply Last reply Reply Quote 0
                                          171 out of 398
                                          • First post
                                            171/398
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received