Вопросы новичка по pfsense

werter

1. Скрин правил fw на LAN. Первое активное правило сверху ошибочно. Удаляйте или меняйте на верное. Скорее всего там должно быть что-то типа

IPv4 LAN net  * * GW_GROUP * или IPv4 LAN net  * * <конкретный шлюз> *

2. Скрин Gateways
Не мониторьте доступность шлюза TTK_PPPOE. Мониторьте тот же 8.8.4.4.

CirbyYKT

Удалил, все равно не пингуется.

Default gateway выставил от WAN2, реакция наоборот. Отключаю WAN1, через WAN2 пинги проходят, отключаю WAN2, пинги не проходят вообще. ¯_(ツ)_/¯

werter

Доброе.
Укажите шлюзом группу, к-ую создали. Это же логично.

CirbyYKT

Здравствуйте,
Извиняюсь, а указать куда? Создать дополнительное правило в Firewall -> LAN? Шлюз по умолчанию выставлял в Routing -> Gateways, по существующим правилам группу шлюзов могу только указать в правилах создаваемых при пробросе портов через Firewall -> NAT. Если выставлю там то ничего не пингуется, т.к. они и так к интерфейсу привязаны.

PbIXTOP

В такой ситуации рекомендую смотреть и на саму таблицу маршрутизации для начала.

PavelSv

У меня имеется вопрос по поводу "правильного" закрытия выхода в инет.
Имею такую схему:

Собственно логика работы такая:
1. запрещаю всем, кроме разрешенных (Алиас "internet_allow")
2. Разрешаю всё оставшимся.

Вот и думаю, может достаточно только разрешить "разрешенным", а остальные правила удалить?

Sas

Здравствуйте.

Подскажите пожалуйста. Как на pfsense прописать dns-сервер?

Такая схема: сеть WAN - 192.168.1.0/24, где есть интернет. LAN1 - 10.10.10.0/24. Если на компе из сети 10.10.10.0/24 прописать гугловский dns - 8.8.8.8, то интернет есть.

pfsense (на WAN) объявляет себя как dns, но ip-адрес dns другой и вот он его не получает.

werter

Доброе.
Если у вас на wan "серый" адрес, то сперва откл. дефолтное блок. правило на wan для "серых" сетей.

Sas

@werter:

Доброе.
Если у вас на wan "серый" адрес, то сперва откл. дефолтное блок. правило на wan для "серых" сетей.

Правил никаких нет.
@oleg1969:

@werter:

.
Если у вас на wan "серый" адрес, то сперва откл. дефолтное блок. правило на wan для "серых" сетей.

Если это не поможет ! попробуйте если у вас используется DNS resolver

в Services / DNS Resolver / General Settings поставить галку DNS Query Forwarding

Сделал так. Сначала он мне пожаловался, что не объявлено ни одного DNS адреса в System-General Setup. Я прописал нужный DNS адрес, включил галку, перезагрузил pfsense - всё заработало!

oleg1969, werter
Большое благодарю.

Sas

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.


PbIXTOP

@Sas:

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.

Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.

Sas

@PbIXTOP:

@Sas:

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.

Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.

Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?

deicide

Добрый день.
Начал изучать pfsense и появилась куча вопросов.

Имеется сеть предприятия примерно 200 компов

Установлено:
pfSense-CE-2.3.4-RELEASE-amd64 (никаких правил не создавал)
squid 0.4.36_3
Lightsquid 3.0.6_4

Стоит задача
Надо чтобы у примерно у 100 пользователей был доступ к интернету.
Велась статистика по этим пользователям.
Блокировка определенных ресурсов (соц.сети и т.д.)

Итак я начал со статистики
делал по инструкции
https://forum.pfsense.org/index.php/topic,43240.15.html
дошел до
Запускаем парсер squid логов

• Исполняем /usr/local/www/lightsquid/lightparser.pl и ждем завершения
  но у меня ничего не происходит сразу же выскакивает командная строка
  Когда Открываю браузер и ввожу http://мой_IP/lightsquid/index.cgi
  Выскакивает запрос на сохранение/открытие файла index.cgi
  захожу в    Status->Services и вижу что lightsquid_web  не запущен
  Иду  Status-> Proxy Reports: Settings сохраняю настройки
  захожу в    Status->Services и вижу что lightsquid_web  уже запущен
  Но результат не изменился
  Вопрос1
  Чего я ещё не сделал или всё это надо делать по другому (если можно ссылку) ?
  Вопрос2
  Я так понимаю по умолчанию все пользователи свободно проходят через прокси в интернет.
  чтобы ходили определенные пользователи надо ip этих пользователей
  прописать в Proxy Server: Access ControlACLs->Allowed Subnets в формате 10.10.10.1\32
  или надо создать какие-то правила и где ?
  Вопрос3
  Для блокировки определенных ресурсов (соц.сети и т.д.) нужно установить и настроить SquidGuard (тыкните носом
  куда смотреть) ?

Заранее спасибо всем кто поможет.

PbIXTOP

@Sas:

@PbIXTOP:

@Sas:

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.

Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.

Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?

В разных местах это назыется по разному в pfSense реализуется через Firewall/Nat/Port Forward. Тут еще стоит вопрос, а умеет ли прокси работать прозрачном режиме. И не забывать о возможноц проблеме ассиметричной маршрутизации.

Sas

@PbIXTOP:

@Sas:

@PbIXTOP:

@Sas:

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.

Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.

Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?

В разных местах это назыется по разному в pfSense реализуется через Firewall/Nat/Port Forward. Тут еще стоит вопрос, а умеет ли прокси работать прозрачном режиме. И не забывать о возможноц проблеме ассиметричной маршрутизации.

Прокси на squid'е + SAMS.

Kowalsky

Добрый день
Столкнулся с настройкой Lightsquid. Прокси настроил. При настройке Status/Squid Proxy Reports: Settings  при сохранении выдает ошибку

Please, configure Squid - General - Proxy Interface(s) to include 'loopback' interface.

В Proxy interface стоит LAN. Если я указываю lookback то Squid proxy Report сохраняется без ошибок, но понятное дело перестает работать Proxy.

В чем проблема?  Возможно где то что то упустил.

PbIXTOP

@Kowalsky:

Добрый день
Столкнулся с настройкой Lightsquid. Прокси настроил. При настройке Status/Squid Proxy Reports: Settings  при сохранении выдает ошибку

Please, configure Squid - General - Proxy Interface(s) to include 'loopback' interface.

В Proxy interface стоит LAN. Если я указываю lookback то Squid proxy Report сохраняется без ошибок, но понятное дело перестает работать Proxy.

В чем проблема?  Возможно где то что то упустил.

Наверное вы просто незамети волшебную надпись под выбором интерфейсов.

vovan_d

Добрый день!

Мучаюсь уже полгода с настройками. Запутался напрочь.
Может кто может разложить как, где и что нужно настраивать, а еще лучше сделает подробный обзор по настройке Pfsense 2.3.

Необходимо следующие моменты:

1. Прозрачный прокси (HTTP и HTTPS)
2. Закрыть вторжение в сеть
3. VPN между филиалами (общие папки и переписка)
4. MultiWAN (балансировка и резервный)
5. Черный список, ограничение по времени, балансировка скорости.
6. Антивирус
7. Выдача IP адреса по MAC (DHCP сервер)
8. Стастистика посещения по пользователям (Lightsquid)
9. Заворачивать с модема подключения по WI-FI для контроля.
10. Корректная работа Skype, также открытие сайтов не указанных в черных списках (не все сайты открываются).
11. Удаленное подключение через интернет к ПК группы, в том числе филиалы. (Remmina)
12. Кэширование посещение сайтов и другие  методы для ускорения загрузки сайтов.
13. Оформление уведомления пользователей о причинах блокировки.
14. и др. полезные настройки.

Можно скрины ваших настроек или сбросить ваши настройки, попробую разобраться.
Но все таки лучше подробная инструкция с комментами.

Kowalsky

Да точно. Спасибо.

kobzar

@vovan_d:

Добрый день!

Мучаюсь уже полгода с настройками. Запутался напрочь.
Может кто может разложить как, где и что нужно настраивать, а еще лучше сделает подробный обзор по настройке Pfsense 2.3.

Необходимо следующие моменты:

1. Прозрачный прокси (HTTP и HTTPS)
2. Закрыть вторжение в сеть
3. VPN между филиалами (общие папки и переписка)
4. MultiWAN (балансировка и резервный)
5. Черный список, ограничение по времени, балансировка скорости.
6. Антивирус
7. Выдача IP адреса по MAC (DHCP сервер)
8. Стастистика посещения по пользователям (Lightsquid)
9. Заворачивать с модема подключения по WI-FI для контроля.
10. Корректная работа Skype, также открытие сайтов не указанных в черных списках (не все сайты открываются).
11. Удаленное подключение через интернет к ПК группы, в том числе филиалы. (Remmina)
12. Кэширование посещение сайтов и другие  методы для ускорения загрузки сайтов.
13. Оформление уведомления пользователей о причинах блокировки.
14. и др. полезные настройки.

Можно скрины ваших настроек или сбросить ваши настройки, попробую разобраться.
Но все таки лучше подробная инструкция с комментами.

1. Google
   2)Google
   …Google

Ибо все что вы спросили это ничего более нежели стандартные административные навыки.
Если вы не можете решить данные пункты смените профессию - ибо проблема у вас не с PFsense.