Вопросы новичка по pfsense

deicide

Добрый день.
Начал изучать pfsense и появилась куча вопросов.

Имеется сеть предприятия примерно 200 компов

Установлено:
pfSense-CE-2.3.4-RELEASE-amd64 (никаких правил не создавал)
squid 0.4.36_3
Lightsquid 3.0.6_4

Стоит задача
Надо чтобы у примерно у 100 пользователей был доступ к интернету.
Велась статистика по этим пользователям.
Блокировка определенных ресурсов (соц.сети и т.д.)

Итак я начал со статистики
делал по инструкции
https://forum.pfsense.org/index.php/topic,43240.15.html
дошел до
Запускаем парсер squid логов

• Исполняем /usr/local/www/lightsquid/lightparser.pl и ждем завершения
  но у меня ничего не происходит сразу же выскакивает командная строка
  Когда Открываю браузер и ввожу http://мой_IP/lightsquid/index.cgi
  Выскакивает запрос на сохранение/открытие файла index.cgi
  захожу в    Status->Services и вижу что lightsquid_web  не запущен
  Иду  Status-> Proxy Reports: Settings сохраняю настройки
  захожу в    Status->Services и вижу что lightsquid_web  уже запущен
  Но результат не изменился
  Вопрос1
  Чего я ещё не сделал или всё это надо делать по другому (если можно ссылку) ?
  Вопрос2
  Я так понимаю по умолчанию все пользователи свободно проходят через прокси в интернет.
  чтобы ходили определенные пользователи надо ip этих пользователей
  прописать в Proxy Server: Access ControlACLs->Allowed Subnets в формате 10.10.10.1\32
  или надо создать какие-то правила и где ?
  Вопрос3
  Для блокировки определенных ресурсов (соц.сети и т.д.) нужно установить и настроить SquidGuard (тыкните носом
  куда смотреть) ?

Заранее спасибо всем кто поможет.

PbIXTOP

@Sas:

@PbIXTOP:

@Sas:

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.

Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.

Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?

В разных местах это назыется по разному в pfSense реализуется через Firewall/Nat/Port Forward. Тут еще стоит вопрос, а умеет ли прокси работать прозрачном режиме. И не забывать о возможноц проблеме ассиметричной маршрутизации.

Sas

@PbIXTOP:

@Sas:

@PbIXTOP:

@Sas:

Теперь появилась другая проблема.

Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.

Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.

Подскажите, что я делаю не так? Схему прикрепил.

Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.

Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?

В разных местах это назыется по разному в pfSense реализуется через Firewall/Nat/Port Forward. Тут еще стоит вопрос, а умеет ли прокси работать прозрачном режиме. И не забывать о возможноц проблеме ассиметричной маршрутизации.

Прокси на squid'е + SAMS.

Kowalsky

Добрый день
Столкнулся с настройкой Lightsquid. Прокси настроил. При настройке Status/Squid Proxy Reports: Settings  при сохранении выдает ошибку

Please, configure Squid - General - Proxy Interface(s) to include 'loopback' interface.

В Proxy interface стоит LAN. Если я указываю lookback то Squid proxy Report сохраняется без ошибок, но понятное дело перестает работать Proxy.

В чем проблема?  Возможно где то что то упустил.

PbIXTOP

@Kowalsky:

Добрый день
Столкнулся с настройкой Lightsquid. Прокси настроил. При настройке Status/Squid Proxy Reports: Settings  при сохранении выдает ошибку

Please, configure Squid - General - Proxy Interface(s) to include 'loopback' interface.

В Proxy interface стоит LAN. Если я указываю lookback то Squid proxy Report сохраняется без ошибок, но понятное дело перестает работать Proxy.

В чем проблема?  Возможно где то что то упустил.

Наверное вы просто незамети волшебную надпись под выбором интерфейсов.

vovan_d

Добрый день!

Мучаюсь уже полгода с настройками. Запутался напрочь.
Может кто может разложить как, где и что нужно настраивать, а еще лучше сделает подробный обзор по настройке Pfsense 2.3.

Необходимо следующие моменты:

1. Прозрачный прокси (HTTP и HTTPS)
2. Закрыть вторжение в сеть
3. VPN между филиалами (общие папки и переписка)
4. MultiWAN (балансировка и резервный)
5. Черный список, ограничение по времени, балансировка скорости.
6. Антивирус
7. Выдача IP адреса по MAC (DHCP сервер)
8. Стастистика посещения по пользователям (Lightsquid)
9. Заворачивать с модема подключения по WI-FI для контроля.
10. Корректная работа Skype, также открытие сайтов не указанных в черных списках (не все сайты открываются).
11. Удаленное подключение через интернет к ПК группы, в том числе филиалы. (Remmina)
12. Кэширование посещение сайтов и другие  методы для ускорения загрузки сайтов.
13. Оформление уведомления пользователей о причинах блокировки.
14. и др. полезные настройки.

Можно скрины ваших настроек или сбросить ваши настройки, попробую разобраться.
Но все таки лучше подробная инструкция с комментами.

Kowalsky

Да точно. Спасибо.

kobzar

@vovan_d:

Добрый день!

Мучаюсь уже полгода с настройками. Запутался напрочь.
Может кто может разложить как, где и что нужно настраивать, а еще лучше сделает подробный обзор по настройке Pfsense 2.3.

Необходимо следующие моменты:

1. Прозрачный прокси (HTTP и HTTPS)
2. Закрыть вторжение в сеть
3. VPN между филиалами (общие папки и переписка)
4. MultiWAN (балансировка и резервный)
5. Черный список, ограничение по времени, балансировка скорости.
6. Антивирус
7. Выдача IP адреса по MAC (DHCP сервер)
8. Стастистика посещения по пользователям (Lightsquid)
9. Заворачивать с модема подключения по WI-FI для контроля.
10. Корректная работа Skype, также открытие сайтов не указанных в черных списках (не все сайты открываются).
11. Удаленное подключение через интернет к ПК группы, в том числе филиалы. (Remmina)
12. Кэширование посещение сайтов и другие  методы для ускорения загрузки сайтов.
13. Оформление уведомления пользователей о причинах блокировки.
14. и др. полезные настройки.

Можно скрины ваших настроек или сбросить ваши настройки, попробую разобраться.
Но все таки лучше подробная инструкция с комментами.

1. Google
   2)Google
   …Google

Ибо все что вы спросили это ничего более нежели стандартные административные навыки.
Если вы не можете решить данные пункты смените профессию - ибо проблема у вас не с PFsense.

pigbrother

Если вы не можете решить данные пункты смените профессию - ибо проблема у вас не с PFsense.

Отвечать приходилось и на более тривиальные вопросы

Но вот
Но все таки лучше подробная инструкция с комментами. да по 14 пунктам

• это, согласен, слишком.

kobzar

Особенно 14 пункт.

vovan_d

Большое спасибо, суперадминистраторы.

Если вы думаете что я не пользовался Гуглом.

Я почти все настраивал по мануалам и советам "суперадминистраторов", где не находил ответа - методами проб.
Хотя хвалите что любой чайник установить PfSesne.

Сайты не все открываются, кэш тормозить, в сеть из интернета зайти не могу, сертификаты нужно на всех ПК устанавливать,
МульВАН при обрыве одного оператора полчаса переходить на другую линию, балансировка напрочь замедляет всю сеть,
принтеры в сети под роутером долго принимает на печать, VPN не смог поднять.

Потому и прошу, чтобы кто-нибудь на своем примере, описал настройку PfSense.

pigbrother

@vovan_d:

Большое спасибо, суперадминистраторы.

Если вы думаете что я не пользовался Гуглом.

Я почти все настраивал по мануалам и советам "суперадминистраторов", где не находил ответа - методами проб.
Хотя хвалите что любой чайник установить PfSesne.

Сайты не все открываются, кэш тормозить, в сеть из интернета зайти не могу, сертификаты нужно на всех ПК устанавливать,
МульВАН при обрыве одного оператора полчаса переходить на другую линию, балансировка напрочь замедляет всю сеть,
принтеры в сети под роутером долго принимает на печать, VPN не смог поднять.

Потому и прошу, чтобы кто-нибудь на своем примере, описал настройку PfSense.

Не считал и вряд-ли смогу считать себя суперадминистратором. Тема Сквид меня, например, вообще не касалась.
По заданным тут вопросам.
1.Мультван и сквид плохо совместимы на последних версиях pfSense.
2. Хотите фильтровать HTTPS -  сертификаты нужно на всех ПК устанавливать, либо альтернативное решение:
https://forum.pfsense.org/index.php?topic=76816.msg625369;topicseen#msg625369
3. Печать в одной подсети? Тогда она она никак не должна быть связана со шлюзом\pfSense
4. VPN. Рекомендую Open VPN. Поднимается либо встроенным в pfSense визардом, любо вручную. Пакет OpenVPN Client Export позволит выгружать готовые конфиги\инсталляторы для клиентов.

vovan_d

Спасибо.
Что-то  немного для себя понял направление по VPN. Буду пробовать.

kobzar

В догонку про мультиван и сквид - уже пиалось много!
Учитывая ваши запросы скорее всего вы подымаете прозрачный прокси - что кстати опять же будет косячиной!
Замените прозрачный прокси WPAD и все будет ровно!
Далее ПРИНТЕРЫ - вышеописанные симптому говорят о том что у вас наглухо неправильно настроены правила фаервола для локальной сети! Попробуйте отключить все ваши правила и добавить только одно
Разрешить всем и все! Тормоза уйдут.

PbIXTOP

@kobzar:

В догонку про мультиван и сквид - уже пиалось много!
Учитывая ваши запросы скорее всего вы подымаете прозрачный прокси - что кстати опять же будет косячиной!
Замените прозрачный прокси WPAD и все будет ровно!
Далее ПРИНТЕРЫ - вышеописанные симптому говорят о том что у вас наглухо неправильно настроены правила фаервола для локальной сети! Попробуйте отключить все ваши правила и добавить только одно
Разрешить всем и все! Тормоза уйдут.

По поводу принтеров - настройка файрвола ничем не поможет, внутри одной сети копьютеры общаються напрямую без участия маршрутизатора.
У принтеров, особенно сетевых, есть множество способов-протоколов для подключения. Я обычно стараюсь использовать RAW протокол (9100 порт).
WSD, IPv6 и прочую ересь стараюсь отключать, чтоб не светилась где попало. Ну и естественно статическая привязка IP для таких принтеров.

cheff

Подскажите почему сканер портов говорит что порт закрыт, ну например 1562, или 10000. А порт 8080 доступен.

pigbrother

1. на компьютере куда проброшены 1562 или 10000 запущено что либо, слушающее на этих портах?
2. если это UDP-порты, обычным сканером портов их не проверишь.

cheff

не пойму логику как открывать доступ к порту, в ipfw все понятно, здесь как то не однозначно.

pigbrother

@cheff:

не пойму логику как открывать доступ к порту, в ipfw все понятно, здесь как то не однозначно.

Куда уж проще.
Просто создать правило в закладке  Firewall NAT Port Forward
В пункте Filter rule association оставить Add Associated filter rule, тогда правило на WAN создастся автоматически.

pigbrother

@oleg1969:

Лучший сканер портов ,есть и для Винды с GUI

https://nmap.org/download.html

Товарищу нужно сканировать снаружи, ставить nmap внутри сети для этого смысла особенного нет.
nmap есть и как готовый пакет для pfSense.

Готовый к использованию nmap для произвольного IP
https://hidemy.name/ru/ports/