Доступ в интернет только избранным (pfSense + Active Directory)
-
Сейчас Ваша проблема, это TCP на порты 80, 443.
Хоть убейте не пойму - почему вы называете это проблемой? Как раз таки ЭТО - имхо не проблема. Хочу разрешаю, а хочу запрещаю. Все наглядно и прозрачно
В то время как UDP-DNS трафик идет с контроллера домена на pfSense общей кучей и непонятно кто первоисточник. То есть, кого посылать, а кого пропускать :D
-
@dimonprodigy:
Сейчас Ваша проблема, это TCP на порты 80, 443.
Хоть убейте не пойму - почему вы называете это проблемой? Как раз таки ЭТО - имхо не проблема. Хочу разрешаю, а хочу запрещаю. Все наглядно и прозрачно
…То есть, Вы уже разобрались с тем, что не смотря на то, что не все компьютеры в internet_YES, все они могут открывать внешние сайты, если удастся заполучить их IP адреса?
@dimonprodigy:
…
В то время как UDP-DNS трафик идет с контроллера домена на pfSense общей кучей и непонятно кто первоисточник. То есть, кого посылать, а кого пропускать :DЗаверните все ДНС-запросы вовне на ЛАН ip пф. И тогда появится возможность рубить доступ к сайтам на уровне ДНС. Если исп-ся ДНС Резолвер на пф, конечно.
Хотя я подумал, и сходу пока не придумал, как организовать фильтрацию. Ну, придёт DNS запрос к pfSense. Ну, поймёт pfSense, что запрос вовне должен идти. А дальше-то что? Для разрешения имени этот самый "ДНС Резолвер" с адреса pfSense пошлёт вовне новый DNS запрос, который нам иногда хочется блокировать. Но адреса изначального инициатора на этом этапе уже нет…
@werter, что я упускаю?
-
То есть, Вы уже разобрались с тем, что не смотря на то, что не все компьютеры в internet_YES, все они могут открывать внешние сайты, если удастся заполучить их IP адреса?
Нет, не разобрался :(
Но так происходит как только я разрешаю на pfSens'e (10.0.0.3) обрабатывать DNS-UDP запросы от контроллера домена (10.0.0.1). Который, в свою очередь, является единственным DNS-сервером для каждой рабочей станции. Поэтому я и грешу на какую-то нестыковку DNS. Типа, если бы за DNS отвечал BIND в pfSense - такой ситуации бы не было. -
@dimonprodigy:
Сейчас Ваша проблема, это TCP на порты 80, 443.
Хоть убейте не пойму - почему вы называете это проблемой? Как раз таки ЭТО - имхо не проблема. Хочу разрешаю, а хочу запрещаю. Все наглядно и прозрачно
В то время как UDP-DNS трафик идет с контроллера домена на pfSense общей кучей и непонятно кто первоисточник. То есть, кого посылать, а кого пропускать :D
@dimonprodigy:
То есть, Вы уже разобрались с тем, что не смотря на то, что не все компьютеры в internet_YES, все они могут открывать внешние сайты, если удастся заполучить их IP адреса?
Нет, не разобрался :(
…И что же для Вас тогда главная проблема? То что DNS работает не совсем так, как хочется, причём понятно почему, или то, что по IP адресам любой из Вашей сети получает доступ вовне по портам 80 и 443, хотя Вы пытаетесь это блокировать?
Для меня главной была бы вторая проблема. Но допускаю и наличие других точек зрения.
@dimonprodigy:
…
Типа, если бы за DNS отвечал BIND в pfSense - такой ситуации бы не было.А в этом я уже не уверен:
…
Хотя я подумал, и сходу пока не придумал, как организовать фильтрацию. Ну, придёт DNS запрос к pfSense. Ну, поймёт pfSense, что запрос вовне должен идти. А дальше-то что? Для разрешения имени этот самый "ДНС Резолвер" с адреса pfSense пошлёт вовне новый DNS запрос, который нам иногда хочется блокировать. Но адреса изначального инициатора на этом этапе уже нет...@werter, что я упускаю?
-
И что же для Вас тогда главная проблема? То что DNS работает не совсем так, как хочется, причём понятно почему, или то, что по IP адресам любой из Вашей сети получает доступ вовне по портам 80 и 443, хотя Вы пытаетесь это блокировать?
Для меня главной была бы вторая проблема.
Да, вы правы - вторая проблема главнее. Действительно, если узнать ип-адрес какого-нить сайта, то в браузере на рабочей станции можно открыть оный сайт (невзирая на то, что данной рабочей станции запрещен доступ в интернет) ;D А самое "прикольное" - допустим, открыл я в браузере на тестовой рабочей станции 10.0.0.12 свой сайт по ip-адресу 5.101.116.208. Лезу в логи, в них только такое. Уж спрошу на всякий случай - так и должно быть?
-
@dimonprodigy:
допустим, открыл я в браузере на тестовой рабочей станции 10.0.0.12 свой сайт по ip-адресу 5.101.116.208. Лезу в логи, в них только такое. Уж спрошу на всякий случай - так и должно быть?
В принципе, всё нормально. Зависит от того, какие сервисы на Вашем компьютере настроены.
https://www.speedguide.net/port.php?port=137
https://www.speedguide.net/port.php?port=5355Ищете, как таки проходят tcp пакеты на порты 80, 443.
-
по правилам хорошего тона, отписываюсь о решенной проблеме. Сам не дотумкал и дернул знакомого хорошего линуксоида, который разобрался. Причина была, по его словам, в Squid.
То есть, решение задачи найдено и выглядит так:
Squid + Squidguard при этом не активны. Их включение, настройка и т.д. - отдельная тема. Данная же задача в ее изначальной формулировке решена.
-
Поздравляю!
Однако,
@dimonprodigy:
Причина была, по его словам, в Squid.
Так у Вас там ещё и squid работал!?
О таких вещах писать надо, батенька! Ну и, разумеется, прямые вопросы не игнорировать:
Вопрос, конечно, странный, но может где-то proxy спрятался?
-
Добрый.
Если сквид - прозрачный, то выпускать "избранных" мимо него можно просто добавив их ip в настройках сквида в source.
Создавать явные правила fw для этого не требуется.Сам не дотумкал и дернул знакомого хорошего линуксоида, который разобрался. Причина была, по его словам, в Squid.
Сквид ни при чем.
-
Поздравляю!
Однако,
@dimonprodigy:
Причина была, по его словам, в Squid.
Так у Вас там ещё и squid работал!?
О таких вещах писать надо, батенька! Ну и, разумеется, прямые вопросы не игнорировать:
Вопрос, конечно, странный, но может где-то proxy спрятался?
Да, виноват, проштрафился. :D При словах "может где-то proxy" я несколько раз думал о прокси внешнем, а не внутреннем. Хз почему ;D
-
Добрый.
Если сквид - прозрачный, то выпускать "избранных" мимо него можно просто добавив их ip в настройках сквида в source.
Создавать явные правила fw для этого не требуется.Задача была в том, чтобы, имея pfSense в кач-ве "шлюза по-умолчанию", по-умолчанию запрещать устройствам выход в интернет. Как явный - доступ к сайтам. Так и неявный - проверку обновлений, лазание в фоне по каким-то экзотическим портам и т.д.
Грубо говоря:
- подключил комп
- dhcp-сервер выдал компу ip…
3)... и все - пока явно не разрешишь - pfSense должен блокировать любые поползновения в интернет.
Мне показалось логичным блокировать при помощи firewall. Задача следующая - кастомизировать доступ к разным сайтам, кому куда можно.
Хотя я могу ошибаться насчет логичности - я только неделю как ковыряю pfSense в вялотекущем режиме, параллельно с другими задачами. ???
