Вопросы новичка по pfsense

Algon · Feb 8, 2017, 9:33 AM

2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)

Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал.

werter · Feb 8, 2017, 9:36 AM

Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.

millenium · Feb 8, 2017, 1:16 PM

@PbIXTOP:

@millenium:

такой вопрос!

при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)

как сделать, что бы на прямую отправлял?

Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.

не подскажете как это реализовать, может инструкция есть?
заранее спасибо.

borg · Feb 8, 2017, 2:34 PM

По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры

artsi · Feb 9, 2017, 8:03 AM

Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.

PbIXTOP · Feb 9, 2017, 8:26 AM

@artsi:

Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.

Убрать разрешающее правило в Firewall'e

artsi · Feb 9, 2017, 8:37 AM

а подробнее? закрыть на lan-интерфейсе 80 порт, оставив порт прокси 3128?

PbIXTOP · Feb 9, 2017, 9:29 AM

@artsi:

а подробнее? закрыть на lan-интерфейсе 80 порт, оставив порт прокси 3128?

Как-то так, только интернет не только 80 порт.

Sheva · Feb 9, 2017, 8:26 PM

Подскажите, где подсмотреть?
pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин. От нагрузки не зависит. сетевые карты менял.

borg · Feb 9, 2017, 10:33 PM

А что в логах пишет?

artsi · Feb 10, 2017, 5:58 AM

PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
При подключении к удаленному внешнему серверу происходит мгновенная авторизация, но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты, ситуация везде одинакова. При использовании другого прокси-сервера, но того-же софта - проблема исчезает. Т.е. дело в pfsense. Подскажите в какую сторону копать? (в файрволе, clam-e и сквиде ip-адрес фтп-ника разрешен)

werter · Feb 10, 2017, 9:48 AM

2 artsi
Доброе.
В каком режиме работает удаленный ftp ?
Вкл. логирование fw пф и смотрите на происходящее там.

pigbrother · Feb 10, 2017, 10:48 AM

Пакет FTP_Client_Proxy не пробовали?

Sheva · Feb 10, 2017, 7:06 PM

@borg:

А что в логах пишет?

в System logs появляются только в DHCP : https://yadi.sk/d/Us3R-lbH3DnSUQ
Shell Output - ifconfig: https://yadi.sk/d/Zy_UWtbA3DnVk5

Установил 2.1.5-RELEASE, работает шустрее, да и проблема вроде как ушла.
и не вроде, а ушла. Официальный новый релиз с сайта - глючный.

werter · Feb 11, 2017, 10:43 AM

2 Sheva
Доброе.
Если в 2.3.х нет ftp proxy - это не означает, что он глючный. Конкретизируйте.

deicide · Feb 13, 2017, 8:37 AM

Добрый день.
Ищу альтернативу Ideco,ICS.
Количество пользователей примерно 150.
Хотелось бы узнать несколько вопросов по возможностям данного продукта.
Если можно то дайте пожалуйста ссылки, чтобы в дальнейшем избежать глупых вопросов.

1. Создание списка пользователей, разбиение на группы (если есть возможность на добавление пользователей через сканирование сети или из списка)
2. Проброс портов.
3. Создание VPN соединения.
4. И самое главное: возможна ли HTTPS фильтрация без подмены сертификата у пользователей и как её организовать?

Заранее спасибо всем тем кто окажет мне помощь в изучении данного продукта.

werter · Feb 13, 2017, 8:49 AM

Доброе

1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.

Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.

P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v

deicide · Feb 13, 2017, 9:53 AM

@werter:

Доброе

1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.

Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.

P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v

1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.

2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?

Заранее спасибо.
P.s. книгу нашел, изучаю видео-уроки.

NetWoolf · Feb 13, 2017, 3:46 PM

@PbIXTOP:

@NetWoolf:

у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.

Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.

http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспот

werter · Feb 13, 2017, 6:00 PM

1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.

Это что-то из мира фантастики.

2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?

Вот тут реализовали mitm для squidguard (форк пф) - http://distrowatch.com/?newsid=09714 . И вот тут http://www.nethserver.org/nethserver-7-final-released/