Firewall devredışı nasıl bırakılır ?

pangasus

arkadaslar bu pfsense nin firewall kapatmaın bir yolu yokmu bendeki firewall devredısı bırakıyor tanımladığım kurallar calışmıyor yan sanailerden bazen rdp yapmaları gerekiyor firewall devredısı bırakıp sadece proxy filre aktıf olmuyormu ?

Ntldr_missing

Merhaba,

Öncelikle pfsense makinesini ne tür bir yapıya kurdunuz?
Squid ilk önce devreye girerek proxy görevini üstlenir sonrasında cache yapılması istenmişse caching yapar
sonrasında SquidGuard devereye girerek içerik filtreleme modülü çalışır ve http üzerinden yapılan bütün filtrelemeleri gayet başarılı bir şekilde sniff ediyor.
son olarak Firewall kuralları çalışır sizin içeriden dışarıya yani Lan to Wan  açmış oldugunuz portlar yönlendirmeler NAT ladığınız ipler portlar vs kuralları devreye girerek çalışır.
yani çalışma diagramı şöle oluyor Squid(Proxy)+SquidGuard(Proxy Filter)+Firewall

iyi çalışmalar.

pangasus

topoloji budur kardes ben pfsenseyi sadece web filtreleme için kullanmayı düşünüyorum

Ntldr_missing

firewall rullarından içerden dışarıya herseye açık vericeksin filtrelemeyi squidguard üzerinden yapicaksin bu sekilde calisir yani şu

Action= Pass
proto=*
source= LanNET
port=*
destination=*
Gateway=*
seklinde

tuzsuzdeli

daha önce clientlarınız gateway olarak juniper'i kullanıyorlardı ise, yine juniperi kullansınlar.
pfsense makinesine de juniper ve clientların olduğu havuzdan bir ip numarası verin.
juniper'de 80-443 portlarını bloklayın, sadece pfsense'in 80-443 üzerinden çıkmasına müsade edin
clientlarınıza proxy olarak pfsense makinesini yazın. böyle bir networkde bunu zaten GPO ile domain controllerdan yaparsınız.
muhtemelen bu kadar çok fiziksel serverınız yoktur, eğer tüm bunlar VmWare üzerinde konsolide ise, zaten bu bahsettiğim pfsense'i de virtual olarak konumlandırın. ben bu şekilde kullanıyorum ve memnunum. sadece web trafiğine müdahele etmiş olacaksınız, mevcut firewall kural ve yönlendirmelerine minimum müdahele etmiş olacaksınız. üstelik VM'in high availability, fault tolerence ve benzeri imkanlarından faydalanırsınz, fiziksel makineye göre daha sağlam olur.

bir de pfsense'i transparent bridge olarak kurup üzerinde proxy çalıştırlabilir mi ona bakmak lazım, o da işinizi görebilir. bildiğim bir konu değil, dökümanı şurda
http://202.143.130.99/files/transparent_firewall.pdf

tuzsuzdeli

@Ntldr_missing:

firewall rullarından içerden dışarıya herseye açık vericeksin filtrelemeyi squidguard üzerinden yapicaksin bu sekilde calisir yani şu

Action= Pass
proto=*
source= LanNET
port=*
destination=*
Gateway=*
seklinde

Arkadaşın sorunu muhtemelen içeriden dışarıya değil, dışarıdan içeriye

pangasus

evet bizim sorunumuz dısarıdan içeriye giriş içeriden cıkışlarda herhangi bir sorun yok

daha önceki vpn bağlantımız calısıyor ama pf sense takılıyor ip block liste te  görünüyor bende telcomdan alınma 4 dıs bacak ip bulunmakta her server icin ayrı  pf sense dvreye alınca sadece juniper dışbacak ip calısıyor öbürleri devredısı kalıyor

bir türlü cözemedim web filtrelemede cok güzel calısıyor bütün sorunlrı astım ama burda takıldım artık cözemessem birde untagle web filtre varmış onu deneyecem

websense 3 yıl için 9000 dolar istiyorlar bu parayı bosa vermek istemiyorum kimse istemez değilmi ?

tuzsuzdeli

2 mesaj üstte yazdığım konfigürasyon işinizi görecektir.
ben de eskiden benzer bir yapıyı kullanıyordum, önde cisco ASA bilmemne vardı.
hatta daha sonra cisco'yu da bir başka pfsense ile değiştirdim.