Правила фаервола



  • Доброго времени суток. С наступающими и прошедшими праздниками.  :)

    До недавнего времени пользовались на работе керио. В принципе все устраивало, за исключением отсутствия шейпинга для каждого юзера. Но это решали с помощью дополнительного софта.

    Поскольку сейчас переходим на лицензионный софт, постепенно отказываемся от некоторых "виндовых" программ.

    Препробовав некоторые программные решения (например ipcop, smootwall, endian, zeroshell и д.р. в том числе настройка шлюза на freebsd с нуля + установка сквида, sams  и др. софта.) решили остановиться пока на pfsense.

    При тестировании на виртуальной машине и изучении доступных "мануалов" возникли вопросы.

    1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

    2. Ставим пакет сквид. включаем прозрачный режим. В фаерволе запрещаем все - инет всеравно есть. Почему?

    3. Используем сквид в прозрачном режиме. Все работает кроме всяких асек скайпов и т д. Как их "пустить" через прозрачный прокси?

    4. Как часть адресов пустить через нат, а часть через сквид? Через нат понятно(в фаерволе создаем правило для нужных адресов или алиасов). Непонятно с сквидом. Вроде как по-умолчанию он раздает интернет для всей локальной сети. Т.е. работатет по принципу можно всем кроме… Возможно ли наоборот? Никому нельзя кроме...

    5. Насколько я понял с подсчетом трафика в pfsense пока "грустно". Лайтсквид не видит ничего кроме хттп. Нтоп - вроде более детальная штука но до первой перезагрузки. Кто чем пользуется?

    6. Насколько хорошо работают приоритеты трафика(QOS)? Если несколько человек включат "качалки" в, например, 10 потоков будет ли работать у остальных интернет?

    Буду очень благодарен если ктото выложит свои правила фаервола и ната чтобы можно было понять общий принцип.

    Спасибо. С ув. Богдан



  • 1\. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?
    

    Подробнее можно ?

    2\. Ставим пакет сквид. включаем прозрачный режим. В фаерволе запрещаем все - инет всеравно есть. Почему? 
    

    Кроме гуевых установок файрвола есть куча служебных. Сквидовский прозрачный режим имеет приоритет над гуевыми правилами. Используйте настройки сквида для ограничения доступа. Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.

    3\. Используем сквид в прозрачном режиме. Все работает кроме всяких асек скайпов и т д. Как их "пустить" через прозрачный прокси?
    

    Сквид - прокси Web трафика. Всякие аськи и скайпы - другие виды траффика
    Для Аси посмотрите imspector

    4\. Как часть адресов пустить через нат, а часть через сквид? Через нат понятно(в фаерволе создаем правило для нужных адресов или алиасов). Непонятно с сквидом. Вроде как по-умолчанию он раздает интернет для всей локальной сети. Т.е. работатет по принципу можно всем кроме... Возможно ли наоборот? Никому нельзя кроме...
    

    Видимо прозрачный режим? Или как?

    5\. Насколько я понял с подсчетом трафика в pfsense пока "грустно". Лайтсквид не видит ничего кроме хттп. Нтоп - вроде более детальная штука но до первой перезагрузки. Кто чем пользуется?
    

    Пока видимо никому не нужно было. Подсчет трафика может означать от простого счетчика до биллинга - широкое поле деятельности.

    6\. Насколько хорошо работают приоритеты трафика(QOS)? Если несколько человек включат "качалки" в, например, 10 потоков будет ли работать у остальных интернет?
    

    В настоящее время Qos не может делить автоматом per-IP трафик, только если выделить отдельные очереди для избранных. В 2.0 обещали новый Qos. Можно также в правилах файрвола выставить количество подключений per-ip/per-sec для ограничения количества потоков.



  • LAN

    WAN


    Ping from firewall

    Ping to firewall

    Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?



  • Кроме гуевых установок файрвола есть куча служебных. Сквидовский прозрачный режим имеет приоритет над гуевыми правилами. Используйте настройки сквида для ограничения доступа. Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.

    Можно подробнее о правилах фаервола и ограничении доступа в сквиде.

    Например есть задача:
    лан:192.168.10.1
    ван:192.168.1.1

    Для лан дать интернет без ограничений привилегированным пользователям (192.168.10.10-192.168.10.20) Никаких паролей и прочих неудобств.

    Для лан дать интернет с ограничениями(контроль закачек, адресов и пр…) адреса (192.168.10.21, 22, 31, 42) к примеру.
    Тоже желательно никаких паролей.

    Для лан дать интернет с ограничениями ..... адреса 192.168.10.100, 102, 105  С паролями.

    Спасибо.



  • @bbs:

    Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?

    Нет, если не включена опция
    System: Advanced functions > Disable webGUI anti-lockout rule
    –--
    По поводу сквида
    192.168.10.10-192.168.10.20 - Proxy server: Access control > Unrestricted IPs
    192.168.10.21, 22, 31, 42 - Proxy server: Access control > Allowed subnets целиком подсеть или попробовать CIDR типа 192.168.10.21/32 ...

    адреса 192.168.10.100, 102, 105  С паролями 
    

    Смешанный доступ?? не подскажу даже



  • Нет, если не включена опция
    System: Advanced functions > Disable webGUI anti-lockout rule

    ага вот оно :)

    Чем Unrestricted IPs отличается от Do not proxy this IP?

    Да еще. В фаерволе есть Block и Reject чем они отличаются?

    По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.

    Транспарент делается переадресацией пакетов с dst port 80 на 127.0.0.1:3128 - можно попробовать вместо транспарента сделать собственные правила.

    Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?
    Спасибо.



  • Чем Unrestricted IPs отличается от Do not proxy this IP?
    

    Неограниченные IP и НеПроксироватьЭтиIP
    Неограниченные просто качают через прокси без ограничений, а непроксированные - качают мимо прокси. Как вторые соотносятся с правилами файера - нужно проверять.

    Да еще. В фаерволе есть Block и Reject чем они отличаются?
    

    Блокировать, Отбросить. В одном случае источнику посылается сообщение что цель не достижима (и источник быстро отрабатывает вариант НеДоступен), а во втором пакет просто уничтожается (источник тупо ждет и отваливает ни с чем по таймауту).

    По поводу смешанного доступа есть мысль использовать пппое или впн и их заворачивать на прокси.
    

    Да ну .. гемор.

    Интересная мысль. Можно пример правила? И еще какие настройки д.б. у сквида? только allow users on interface ?
    

    Примером не обрадую - лучше посмотреть в англоязычной ветке в разделах NAT Firewall Packages. Недавно были выложены где-то и примеры по теме, и изменения гуя для пропуска мимо транспарента отдельных IP.

    http://forum.pfsense.org/index.php/topic,6439.0.html
    http://forum.pfsense.org/index.php/topic,6169.0.html



  • спасибо. Буду дальше читать :)

    Пробовал в разрешенных сетях в сквиде задавать

    по типу 192.168.10.21/32.

    Не получилось. По-умолчанию разрешено всей сети. Можно конечно выкрутится путем запрета конкретных айпи в следущем текстбоксе(запрет айпи), но довольно неудобно. Это при каждом добавлении нового компьютера нужно смотреть есть он там или нет, и главное случайно ничего не забыть.

    Решить эту проблему можно путем "по-умолчанию" запрета сквиду всех локальных сетей. А потом только разрешать необходимые или масками или по айпи. Но для этого я так понимаю нужно делать какойто хак в конфиг сквида. Который, я так понимаю уничтожиться при запуске гуя.

    :-\



  • Отключить в сквиде Аллой на интерфейсе(1 страница) и задать на Access странице явно? Под себя можно изменить гуй сквида /usr/local/pkg/squid.inc



  • @bbs:

    Ping to firewall

    Насколько я правильно понимаю запрещающие правила должны заблокировать все, включая доступ на сам фаервол. Или я чтото не понимаю?

    Может я и поздно на этот вопрос(не нашел я вроде ответа).

    У тебя запрещен TCP, а пинги по-моему относится к ICMP.
    Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговать;)



  • После рабочей недели возвращаюсь опять к тестам.

    Может я и поздно на этот вопрос(не нашел я вроде ответа).

    У тебя запрещен TCP, а пинги по-моему относится к ICMP.
    Закрой ВСЕ типы пакетов, останови сквида(только не забудь для своего ip разрешить все предварительно, а то вообще не попадешь на веб-интерфейс) и попробуй с какого-нибудь компа пинговатьWink

    Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса  подсказал уважаемый dvserg

    System: Advanced functions > Disable webGUI anti-lockout rule

    ДА действительно тогда со стороны локалки заблокировано все(на самом деле проверял только пинг). Правда меня смущает следующий факт. После проведенных манипуляций пинги с local в wan не идут, а с wan в local все прекрасно пингуется. Причем пинг проходит не только к шлюзу, а й внутрь сети (т. е. я могу пропинговать комп в локалке из wan интерфейса при запрещающем правиле - см. скрин WAN).

    Мож опять гдето чегото еще не дочитал. Но странно это. Хотя может это особенности поведения дистрибутива в виртуальной машине. НО сильно не хочется пустить это дело "в работу", "спать спокойно" даже не подозревая о том что со стороны провайдера твоя сеть видна.

    Что мне не нравиться пока в этом дистрибутиве так это "скрытые" настойки-правила(их не видно в гуи), которые могут быть внесены в фаервол без ведома пользователя. Например при использовании сквида, пакета imspector мож еще каких но этих точно.

    Хотя в pfsense есть и несомненные достоинства.



  • Все видно в /tmp/rules.debug



  • отключите галочку nat и рулите все правилами.



  • @bbs:

    1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

    Потому что ты запретил только TCP
    ping - не по TCP



  • @vvcoder:

    @bbs:

    1. Непонятна работа фаервола. Убираем все правила и создаем запрещающее на все. Фаервол всеравно пингуется и на нем есть инет. Почему?

    Потому что ты запретил только TCP
    ping - не по TCP

    :D

    Спасибо за внимательность, да с правилом которое отображено на картинке я немного не доглядел. Это было замечено после добавления поста. И замена ТСР на "все" не привела к успеху. Хост как пинговался так и пингуется. Решение этого вопроса  подсказал уважаемый dvserg

    Quote
    System: Advanced functions > Disable webGUI anti-lockout rule



  • Так и не понял как решили проблему пингов с wan.

    Я создал правило на WAN запрещающее:

    ICMP  *  *  WAN address  *  *      block_ping

    Причем ICMP(any), а пинги все равно идут.

    Поставил логировать это правило - в логах пусто.



  • Вылечилось перезагрузкой.

    Похоже дело обстоит так: если пинги при запуске разрешены, то их запрет заработает только после ребута.
    Если пинги запрещены - разрешение пингов заработает сразу.

    Для уточнения нужны еще эксперементы (например при выключенном правиле при запуске системы с последующим включением этого правила). Но сейчас я спать.


Log in to reply