Вопросы новичка по pfsense

Algon

@werter:

2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)

Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

werter

Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

millenium

@PbIXTOP:

@millenium:

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

не подскажете как это реализовать, может инструкция есть?
заранее спасибо.

borg

По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

artsi

Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

PbIXTOP

@artsi:

Подскажите пожалуйста,  как сделать что бы pfsense пускал серфить инет только через squidguard?  Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip -  pfsense по прежнему пускает их в сеть с  отсутствием ограничения на просматриваемый контент.

Убрать разрешающее правило в Firewall'e

artsi

а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

PbIXTOP

@artsi:

а подробнее?  закрыть на lan-интерфейсе 80 порт,  оставив порт прокси 3128?

Как-то так, только интернет не только 80 порт.

Sheva

Подскажите, где подсмотреть?
pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин.  От нагрузки не зависит. сетевые карты менял.

borg

А что в логах пишет?

artsi

PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
При подключении к удаленному внешнему серверу происходит мгновенная авторизация,  но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты,  ситуация везде одинакова. При использовании другого прокси-сервера, но  того-же софта - проблема исчезает. Т.е. дело в pfsense.  Подскажите в какую сторону копать?  (в файрволе, clam-e и сквиде ip-адрес фтп-ника  разрешен)

werter

2 artsi
Доброе.
В каком режиме работает удаленный ftp ?
Вкл. логирование fw пф и смотрите на происходящее там.

pigbrother

Пакет FTP_Client_Proxy не пробовали?

Sheva

@borg:

А что в логах пишет?

в System logs появляются только в DHCP : https://yadi.sk/d/Us3R-lbH3DnSUQ
Shell Output - ifconfig: https://yadi.sk/d/Zy_UWtbA3DnVk5

Установил 2.1.5-RELEASE, работает шустрее, да и проблема вроде как ушла.
и не вроде, а ушла. Официальный новый релиз с сайта - глючный.

werter

2 Sheva
Доброе.
Если в 2.3.х нет ftp proxy - это не означает, что он глючный. Конкретизируйте.

deicide

Добрый день.
Ищу альтернативу Ideco,ICS.
Количество пользователей примерно 150.
Хотелось бы узнать несколько вопросов по возможностям данного продукта.
Если можно то дайте пожалуйста ссылки, чтобы в дальнейшем избежать глупых вопросов.

1. Создание списка пользователей, разбиение на группы (если есть возможность на добавление пользователей через сканирование сети или из списка)
2. Проброс портов.
3. Создание VPN соединения.
4. И самое главное: возможна ли HTTPS фильтрация без подмены сертификата у пользователей и как её организовать?

Заранее спасибо  всем тем кто окажет мне помощь в изучении данного продукта.

werter

Доброе

1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.

Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.

P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v

deicide

@werter:

Доброе

1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.

Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.

P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v

1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.

2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр  видео и некоторым сайтам ?

Заранее спасибо.
P.s. книгу нашел, изучаю видео-уроки.

NetWoolf

@PbIXTOP:

@NetWoolf:

у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспот

werter

1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.

Это что-то из мира фантастики.

2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр  видео и некоторым сайтам ?

Вот тут реализовали mitm для squidguard (форк пф) - http://distrowatch.com/?newsid=09714 . И вот тут http://www.nethserver.org/nethserver-7-final-released/