настройка pfsense

SNaKe_ROOL

Привет всем знатокам, у меня есть вопросик по настройке pfsense. А конкретно меня интересует как сделать следующее. Есть канторка и в ней необходимо настроить более или менее защищёный канал интернета, т.е. нужно сделать следующее, определённому кругу IP разрешить доступ в инет (конретно HTTP, HTTPS, FTP, POP3 и SMTP), ну и заодно понять кто куда любит лазить (это я понимаю ка настроить типа связка Squid & LightSquid), включить поддержку бна сайтов (это SquifGuard).Но на сколько я понимаю протоколы FTP, POP3 и SMTP надо пустить через NAT, а вот с правилами у меня проблема, как их написать просто не понимаю!!!!
HELP!!!!!!!

dvserg

@SNaKe_ROOL:

Привет всем знатокам, у меня есть вопросик по настройке pfsense. А конкретно меня интересует как сделать следующее. Есть канторка и в ней необходимо настроить более или менее защищёный канал интернета, т.е. нужно сделать следующее, определённому кругу IP разрешить доступ в инет (конретно HTTP, HTTPS, FTP, POP3 и SMTP), ну и заодно понять кто куда любит лазить (это я понимаю ка настроить типа связка Squid & LightSquid), включить поддержку бна сайтов (это SquifGuard).Но на сколько я понимаю протоколы FTP, POP3 и SMTP надо пустить через NAT, а вот с правилами у меня проблема, как их написать просто не понимаю!!!!
HELP!!!!!!!

Вкратце:
Можно включить Nat Reflection и разрешить на лане нужные. Или ручками в Outbound NAT нужные протоколы за-натить. При этом должны создаться правила в RULES нужно проверить
На WAN разрешить исходящие 'LAN subnet-any' для tcp/udp

На портале есть доки и хауту - посмотрите там много чего интересного

SNaKe_ROOL

Тенкс сейчас на виртуалку попробуем замутить это!!!!

SNaKe_ROOL

По поводу настройки Squid можешь подсказать, пытаюсь разрешить доступ в инет только  для 192.168.0.30/24 вписываю его в настройке доступа в поле - Allowed subnets, а он мне всё-равно пускает всю подсеть 192.168.0.0/24. Не хочеться просто в Banned Host addresses забивать 150 IP адресов. Может как-то перенаправление для определённый IP адресов в правилах LAN на проксю можно сделать!!????

dvserg

@SNaKe_ROOL:

По поводу настройки Squid можешь подсказать, пытаюсь разрешить доступ в инет только  для 192.168.0.30/24 вписываю его в настройке доступа в поле - Allowed subnets, а он мне всё-равно пускает всю подсеть 192.168.0.0/24. Не хочеться просто в Banned Host addresses забивать 150 IP адресов. Может как-то перенаправление для определённый IP адресов в правилах LAN на проксю можно сделать!!????

192.168.0.30/24 - это что? одиночный айпи?

SNaKe_ROOL

ну извиниламер я слегка, так не подскажешь, как это сделать!?

dvserg

@SNaKe_ROOL:

ну извиниламер я слегка, так не подскажешь, как это сделать!?

Давай начнем с того, что нужно сделать? выпуститьнаружуодин IP или группу?

SNaKe_ROOL

группу IP адресов!!!!

dvserg

@SNaKe_ROOL:

группу IP адресов!!!!

Если это подсеть то пишем например 192.168.1.0/24 Если это айпи в разнобой то просто списком 192.168.1.10  192.168.1.11 192.168.1.12