Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Переход от iptables на PfSense

    Scheduled Pinned Locked Moved
    Russian
    4
    32
    2.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter @AntonR69
      last edited by werter

      Добрый.
      @antonr69
      Все настройки сквида скринами покажите.

      ЗЫ. У сквида можно указать КАКИЕ через него разрешать. В advanced добавьте почтовые порты
      Что-то типа https://sysadmins.ru/topic167979.html (последнее сообщение).
      При этом в настройках громоптицы указать, что прокси не использовать (проверить!)

      Зы2. Покажите правила fw на ЛАН. Сквид работает только с http(s) и разрешающих правил на ЛАН для почтовых портов должно хватать.
      https://forum.netgate.com/topic/127606/squid-gmail-thunderbird-unable-to-connect
      https://forum.netgate.com/topic/42208/firewall-rules-for-smtp-pop-to-use-thunderbird

      A 1 Reply Last reply Reply Quote 0
      • A
        AntonR69 @werter
        last edited by

        @werter
        Спасибо за полезные ссылки. кое что прояснилось. Виновник найден немного в другом месте, это был snort. Он по каким то своим идейным соображениям заблокировал наш почтовый сервер.

        werterW 1 Reply Last reply Reply Quote 0
        • werterW
          werter @AntonR69
          last edited by werter

          @antonr69
          Не надо снорт - надо суриката. Поищите же отличия.
          Зы. Снорт только одно ядро умеет пользовать, сурикат - многоядерный.
          Оно вам надо такое?
          Только самая свежая версия снорта умеет в мультиядерность и ее пока нет в пакетах пф.

          A 1 Reply Last reply Reply Quote 1
          • A
            AntonR69 @werter
            last edited by

            @werter
            Спасибо. День добрый. Снес снорт, поставил сурикату. Почтовые серваки не блочит, но сегодня заблочил сервера обновления и репозиториев pfsense. Хотел пакет поставить, а он мне - Ишь, чаво захотел. Вобщим, отключил пока режим блокировки. Буду пока наблюдать, уму-разуму набираться.
            Я тут pfsense поставил на сервант. На железном раиде сделал raid1 из двух дисков. Все встало замечательно, но потом меня осенила мысль, а чем я буду контролировать диски в этом раиде, посмотрел, а оказалось нечем. Придется все снести и сделать софтовый раид GEOM встроеный в pfsense.

            A werterW 2 Replies Last reply Reply Quote 0
            • A
              AntonR69 @AntonR69
              last edited by

              @antonr69
              Не прокатил у меня мой вариант. Сервант dell Poweradge 1950 с корзиной из двух дисков. Raid контроллер дает только 3 варианта. Raid0 с одним диском, raid0 c двумя и raid1 с двумя дисками. Так что raid geom не получилось использовать. Ну и ладно, будем периодически в idrac заходить для контроля состояния дисков.

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @AntonR69
                last edited by

                @antonr69 said in Переход от iptables на PfSense:

                dell Poweradge 1950

                Не слишком ли горячая машина для PfSense? 😊

                A 1 Reply Last reply Reply Quote 1
                • werterW
                  werter @AntonR69
                  last edited by werter

                  Добрый.
                  @antonr69
                  Ложные срабатывания возможны (~1%).
                  Сурикат (как и любая IDPS) требует некоторого "обучения" - придется руками его потыкать не-кое время.

                  Dell PowerEdge 1950

                  У вас там PERC 5i вроде в кач-ве контроллера. Поищите по 'PERC 5i it mode' в гугле - может и получится его перешить.

                  1 Reply Last reply Reply Quote 1
                  • A
                    AntonR69 @pigbrother
                    last edited by AntonR69

                    @pigbrother said in Переход от iptables на PfSense:

                    Не слишком ли горячая машина для PfSense?

                    Может быть чуток лишака. Пока я не поставил PfblockerNG хватало коры дуба Е7400 с 4 гигами оперативки. Как поставил PfblockerNG машинка моя загнулась. Это мощная система фильтрации требует больше оперативки и процессора. Этот пакет загружает у меня более 3 миллионов адресов в память. Проц иногда до 40% подскакивает, а их там два 4-х ядерные. Одного наверное хватило бы.
                    pfblockerng.JPG
                    operativka.JPG

                    werterW 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @AntonR69
                      last edited by

                      @antonr69
                      Развернуть гипер и в нем отдельно пф + pi-hole или adguard home для фильтрации.
                      И глянуть как будет работать.
                      Зы. Кстати, adguard home можно прямо на пф вместо пфблокера развернуть.

                      A 1 Reply Last reply Reply Quote 1
                      • A
                        AntonR69 @werter
                        last edited by

                        @werter said in Переход от iptables на PfSense:
                        Всем привет. Я тут вчера попробовал на базе pfblockerng включить geoip (MaxMaind) фильтрацию. Из разрешенных осталась только Россия. Среди заблокированных оказался клиент из Питера. Его IP реально бьётся на 2ip.ru как питерский, а заблокировал его африканский модуль. Как так, где у него кукушка съехала?

                        werterW 1 Reply Last reply Reply Quote 0
                        • werterW
                          werter @AntonR69
                          last edited by

                          @antonr69
                          А кто ж его знает. Люди делают ПО - люди не идеальны.

                          A 1 Reply Last reply Reply Quote 0
                          • A
                            AntonR69 @werter
                            last edited by

                            Еще подскажите пожалуйста. В Kerio controll в разделе DNS я мог сделать статические записи для локальных хостов, например, имя nas соотносится к ip xxx.xxx.xxx.xxx После создания такой записи я мог попадать на ресурсы вводя одно имя nas. В pfsense почему то я к имени должен добавить еще и имя домена. То есть, запись работает, но только в сочетании nas.domain.xxx. просто по nas не ходит. Это так заложено или я что то не так делаю? Вроде все по инструкции делал.

                            werterW 1 Reply Last reply Reply Quote 0
                            • werterW
                              werter @AntonR69
                              last edited by

                              @antonr69

                              просто по nas не ходит

                              И не надо. Настройте по nas.domain.xxx.
                              При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
                              И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.

                              A 1 Reply Last reply Reply Quote 0
                              • A
                                AntonR69 @werter
                                last edited by

                                @werter said in Переход от iptables на PfSense:

                                @antonr69

                                При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
                                И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.
                                Дело в том что первым днс как раз стоит pfsense, и при этом по имени без домена не ходит.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.