Firewall rules



  • Доброво времени суток всем пользователям PfSense!
    Решил попробовать pfsense, но не смог понять правила фаервола.
    на pfsense настроено

    1. Lan (192.168.0.0) несколько компьютеров
    2. wan (pppoe) интернет
    3. ppptp-server (10.0.0.254)
      домашний компьютер ppptp-client (10.0.0.192)
      надо увидеть с клиента компьютер lan (192.168.0.50)
      перепробовал все написать всякие правила, но ничего не получается!
      за любую информацию по теме заранее спасибо!


  • скрины правил

    хотя не совсем понял причем тут фаервол



  • точнее татические маршруты!



  • Firewall > Rules > PPTP VPN

    add new rule

    Proto *
    Source PPTP clients
    Destination  *
    Port *
    Gateway *

    И будет тебе счастье :)
    зы. если нужны ограничения по PPTP клиентам правь Destination
    Да, и еще не назначай в свойствах PPTP клиента (Remote address range)  диапазон своей лакалки. Т.е если у тебя 192.168.0.0 то в поле Remote address range должно стоять 192.168.1.0
    В общем не имеет значения IP в поле Server address, но у тебя должен быть на pfsense WAN - "реальный (белый) IP или ты и твой рабочий хост должны находится в локалке одного провайдера. Подключаясь клиентом нужно указывать именно этот IP, а не тот что указан в поле Server address.
    И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)



  • @tudin:

    И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)

    Я тоже хочу, что б меня накрыло -( Присоветуй чё-нидь, а? -)



  • Ничего из легального :)
    А вообще говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
    Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D



  • @tudin:

    Ничего из легального :)
    А вообше говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
    Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

    По VPN ?



  • @dvserg:

    @tudin:

    По VPN ?

    Ага - OpenVPN



  • @dvserg:

    @tudin:

    По VPN ?

    Ага - OpenVPN

    А точки с одним/двумя компами есть? Как там сделано? Софтовый винВПН ?



  • Прошу прощения за то что долго не отвечал.
    У меня односторонний канал, т.е клиенты openVPN (все машины на ОС Windows, есть по несколько ПК ч-з NAT)  могут видеть компьютеры локальной сети за фаерволом (pfsense), а я с центрального офиса могу заходить на машины клиентов на которых установлен OpenVPN и дальше могу видеть машины пользуясь внутренними локальными адресами. Все машины клиентов OpenVPN или имеют белый IP или в пределах локалки провайдера. Для текущих задач схема приемлемая. Удаленный офис находится в другом городе за … Короче, очень далеко. Пока работаю в пилотном режиме (нарабатываю статистику проблем и отказов pfsense), но думаю в скором будущем ставить pfsense на другом офисе и поднимать двухсторонний канал. Разворачивал пользуясь ветками нашего форума. Этой http://forum.pfsense.org/index.php/topic,28627.0.html  и этой  http://forum.pfsense.org/index.php/topic,7840.0.html    Если заинтересует могу поделится информацией. У меня сносный перевод последнего поста немного дополненный от себя. Просто пытаюсь понять как  работает openvpn и какие чечетки его можно заставить отплясывать.



  • @tudin:

    Кстати в сети есть книга "pfSense: The Definitive Guide" авторы Christopher M. Buechler, Jim Pingle думаю что для вас не новость…

    Уже выложили бесплатно? Для меня - новость.



  • На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.



  • @tudin:

    На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

    Что такое муветон? -))) чувствую - отстаю я в развитии…



  • _Как раз выкладывание пиратских ссылок на платные книги нехороший тон.
    По крайней мере в отношении книги о pfSense и к ее авторам.
    Люди старались написать бук, и естественно хотят за это получить какую-то оплату.
    За разработку прямых гонораров никто не получает.

    С этим в личную почту пожалуйста.
    dvserg_



  • Вот-вот, и я про то же, потому и не раскидываю ссылки.
    @Evgeny:

    Что такое муветон? -)))

    Это жаргонный перефраз слова моветон - фр. mauvais ton — дурной тон



  • да-да-да, я бы книжку купил, если бы только обложка была не синяя, а красная.



  • эх, жалко я ссылки не видел… забанил бы мгновенно и навечно, пришлось бы тебе ник менять. Это ж надо додуматься...
    Ищите, качайте, но здесь этого мусора чтобы не было.



  • Кстати в сети есть книга

    спасибо.



  • Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)



  • @tudin:

    Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

    ;D Вот так и переписывают историю..



  • Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?



  • @tim2000:

    Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

    Открыть порты SMTP/POP3



  • @dvserg:

    @tim2000:

    Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

    Открыть порты SMTP/POP3

    И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.



  • Че то не открываютца  :D
    Вобщем иду в Firewall: Rules: LAN


    Почта работает, но соотвецтвенно и инет есть. Убераю правило "Tim to ANY" и нет ни инета ни почты.
    Надо чтото еще открыть кроме ПОП3 и СМТП. Открывал ДНС - непомогает.



  • @Evgeny:

    И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

    Это не про это.. Открыть порты означает в данном случае разрешить юзеру ходить в инет по указанным портам.
    Правило будет выглядеть так:

    ICMP *******
    TCP/UDP * * * DNS * * *

    TCP 10.10.10.9 * * 25 * SMTP
    TCP 10.10.10.9 * * 110 * POP
    x  TCP 10.10.10.9 * * * * *



  • ага, данке.



  • Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.



  • @deutsche:

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    LOL



  • @deutsche:

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    Это брутто, а нетто достаточно поп и смтп.



  • @deutsche:

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    Знаем.


Log in to reply