Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Помогите новичку.

    Scheduled Pinned Locked Moved Russian
    17 Posts 6 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A Offline
      atyltin
      last edited by

      @Bansardo:

      Trafic shaper - читаем про него. Он будет резать для пользователей, соответственно, если добавить пользователей в PF то все будет резаться для них ;)
      З.Ы. Задачка совсем не для новичка.

      Жизнь такая. Только влез а уже такая задача. :(
      Дык, каким образом PF возьмет пользователей из групп в АД?

      Я пока вижу вариант только резать на squid  через  deley_pool. Вроде squid распознает пользователей через ад, но вот как прописать группу из ад пока не понятно. К тому же сквид в pfsense имеет только один пул. Выносить прокси на чистую фряху и там поднять нормальный squid?

      Блин и скайп не работает.

      1 Reply Last reply Reply Quote 0
      • S Offline
        swch
        last edited by

        Этот вопрос уже обсуждался на этом форуме. Поищите.
        Вот варианты решения:
        http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
        http://www.fadmin.ru/vopros/pfsense-squid-ldap-ad
        Правда у меня это работало только на 2.1.5 версии. После обновления до 2.3.2 все сломалось.
        Долго не заморачивался и перешел на NTLM-авторизацию.
        http://pf2ad.mundounix.com.br/en/index.html

        1 Reply Last reply Reply Quote 0
        • A Offline
          atyltin
          last edited by

          @swch:

          Этот вопрос уже обсуждался на этом форуме. Поищите.
          Вот варианты решения:
          http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
          http://www.fadmin.ru/vopros/pfsense-squid-ldap-ad
          Правда у меня это работало только на 2.1.5 версии. После обновления до 2.3.2 все сломалось.
          Долго не заморачивался и перешел на NTLM-авторизацию.
          http://pf2ad.mundounix.com.br/en/index.html

          Здравствуйте. Спасибо за ссылки. В данный момент уже настроена NTLM авторизация. Это уже сделано и это работает.
          Вопрос как к этой NTLM авторизации прикрутить внешние группы. + Это нормально что при NTLM авторизации после обновления SQUID она пропадает?
          И вопрос в том что SQUID на pfSense имеет только один delay_pool. Конфиг его менять не получиться. Где задавать 5 dalay_pool? или править squid.inc и потом шедулером править файл?
          Или я не совсем не туда лезу? И есть более красивое изящное решение порезать скорость для групп в АД?

          Ну так для кучи вопрос со скайпом.
          Какую такую авторизацию режет SQUID что сообщения ходят звонки нет, до тех пор пока не откроешь на пару минут squid и после этого звонки идут даже при закрытом SQUID.
          Не прозрачный без SSL Man In the Middle Filtering еще даже гвард не ставил. Режет чисто SQUID. Работает если в Unrestricted IPs указать ip компа.

          1 Reply Last reply Reply Quote 0
          • S Offline
            swch
            last edited by

            Приветствую.

            Уточните, зачем Вам группы?
            Для резания полосы пропускания канала используется настройки файрвола раздел limiter.
            Лучше всего этот процесс описан здесь: https://knasys.ru/8-pfsense-%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%BA%D0%BE%D1%80%D0%BE%D1%81%D1%82%D0%B8-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5/
            Но там авторизация по IP или МАС.
            Что бы резать скорость средствами прохи-сервера штатных средств нет. Есть костыли через services - squid proxy server - general - advanced features - Custom ACLS(After Auth). Вот тут можно вставлять прямые настройки типа delay pool.
            Если группы нужны для ограничения доступа к сайтам, то настраивайте squidguard. Там есть настройки в том числе и через группы. У меня заработало.
            По-поводу скайпа не скажу. Наверняка что-то простое и банальное. Он у меня работает. Подсказки: Шлюзом по-умолчанию для компьютера должен быть внутренний адрес pfsense. В IE должна быть настройка на проксю. В ACLs - Allowed Subnets я добавил все свои сетки. Попробуйте поиграться с настройками соединения в скайпе.
            SSL Man In the Middle Filtering не включал.
            Удачи.

            1 Reply Last reply Reply Quote 0
            • A Offline
              atyltin
              last edited by

              @swch:

              Приветствую.
              Уточните, зачем Вам группы?

              Здравствуйте.
              Спасибо за ссылки.
              Группы нужны так как существующие каналы без контроля 500 пользователей выгрызает канал полностью. Надо директорам, дать быструю скорость, кому реально нужен инет хорошую скорость, остальным по братский. Соответственно директор скорость надо конкретному пользователю а не компу за которым он в данный момент сидит. Можно конечно выдавать IP на циске по 802.1x но это гемор, еще тот и не готова инфраструктура.

              Второй вопрос.
              Сейчас авторизация NTLM.
              Т.е. в логах я вижу что пользователь такой пошел на такой сайт. Как-то так.
              20.12.2016 14:50:35 x.x.x.x TCP_TUNNEL/200 s.ytimg.com:443 username 173.194.122.226
              http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
              Здесь указано что надо добавить в Далее дополнительные параметры external_acl_type (см. картинку)
              Нужно ли это делать или сразу писать acl ad_inet1m external ldap_users InetUsers1m и он это съест?
              Как правильно?

              заранее спасибо.

              1 Reply Last reply Reply Quote 0
              • S Offline
                swch
                last edited by

                По ссылке описана настройка для старой версии pfsense и squid 2.7. У меня так когда-то работало.
                Для новой версии надо писать примерно тоже самое в окно которое я указал:  services - squid proxy server - general - advanced features - Custom ACLS(After Auth).
                Пробуйте. Гугл в помощь.
                Параметр external_acl_type nt_group %LOGIN /usr/libexec/squid/wbinfo_group.pl указывает где брать названия групп и он обязателен. Весь вопрос какой хэлпер брать.
                Хэлперы лежат тут: /usr/local/libexec/squid.
                Или использовать wbinfo_group.pl.
                Пока сам с этим вопросом до конца не разобрался.
                Резать тоже надо с умом. Может имеет смысл резать не по группам, а по типам файлов. Запрещать закачку музыки, видео, торрентов и т.п. А лучше отдельный канал для элиты Ж8-))

                1 Reply Last reply Reply Quote 0
                • A Offline
                  atyltin
                  last edited by

                  @swch:

                  Резать тоже надо с умом. Может имеет смысл резать не по группам, а по типам файлов. Запрещать закачку музыки, видео, торрентов и т.п. А лучше отдельный канал для элиты Ж8-))

                  директор может и картинки качать и кино смотреть тут не угадаешь. :(

                  1 Reply Last reply Reply Quote 0
                  • K Offline
                    Kowalsky
                    last edited by

                    У кого нибудь получилось в итоге собрать ограничение скорости в AD по группам, а то все статьи старые. Валиться с squid при вводе в Custom ACLS(After Auth).  Еще не понимаю какой хэлпер выбрать  пробовал ext_ldap_group_acl  но не удачно.
                    Может кто что подскажет?

                    1 Reply Last reply Reply Quote 0
                    • werterW Offline
                      werter
                      last edited by

                      Доброе.
                      Попробуйте с Limiter-ом. Соберите ip в алиасы и резвитесь кому и сколько можно\надо.

                      1 Reply Last reply Reply Quote 0
                      • K Offline
                        Kowalsky
                        last edited by

                        Можно конечно через ip, просто хотелось сделать без привязки ip или mac. Попробовал ограничивает. Но тут возник вопрос когда я вписываю в firewall правило ставлю нужный ip в in/out добавляю группу то получается так, что если пользователь уберет прокси то он будет иметь доступ без прокси, конечно же с ограничением по скорости. Как сделать так что бы было ограничение и если убрать прокси не было интернета как если бы было без правила ограничения трафика?

                        1 Reply Last reply Reply Quote 0
                        • K Offline
                          Kowalsky
                          last edited by

                          Доброго дня.
                          Не могу понять почему через прокси нельзя измерить скорость интернета к примеру на сайтах 2ip  speedtest. Там что используются какие то порты которые закрыты firewall или что то ещё мешает протестировать скорость?

                          1 Reply Last reply Reply Quote 0
                          • P Offline
                            pigbrother
                            last edited by

                            А это:
                            https://fast.com/
                            работает?

                            1 Reply Last reply Reply Quote 0
                            • K Offline
                              Kowalsky
                              last edited by

                              да работает.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.