Firewall rules
-
Доброво времени суток всем пользователям PfSense!
Решил попробовать pfsense, но не смог понять правила фаервола.
на pfsense настроено- Lan (192.168.0.0) несколько компьютеров
- wan (pppoe) интернет
- ppptp-server (10.0.0.254)
домашний компьютер ppptp-client (10.0.0.192)
надо увидеть с клиента компьютер lan (192.168.0.50)
перепробовал все написать всякие правила, но ничего не получается!
за любую информацию по теме заранее спасибо!
-
скрины правил
хотя не совсем понял причем тут фаервол
-
точнее татические маршруты!
-
Firewall > Rules > PPTP VPN
add new rule
Proto *
Source PPTP clients
Destination *
Port *
Gateway *И будет тебе счастье :)
зы. если нужны ограничения по PPTP клиентам правь Destination
Да, и еще не назначай в свойствах PPTP клиента (Remote address range) диапазон своей лакалки. Т.е если у тебя 192.168.0.0 то в поле Remote address range должно стоять 192.168.1.0
В общем не имеет значения IP в поле Server address, но у тебя должен быть на pfsense WAN - "реальный (белый) IP или ты и твой рабочий хост должны находится в локалке одного провайдера. Подключаясь клиентом нужно указывать именно этот IP, а не тот что указан в поле Server address.
И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :) -
И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)
Я тоже хочу, что б меня накрыло -( Присоветуй чё-нидь, а? -)
-
Ничего из легального :)
А вообще говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением. ;D -
Ничего из легального :)
А вообше говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением. ;DПо VPN ?
-
-
-
Прошу прощения за то что долго не отвечал.
У меня односторонний канал, т.е клиенты openVPN (все машины на ОС Windows, есть по несколько ПК ч-з NAT) могут видеть компьютеры локальной сети за фаерволом (pfsense), а я с центрального офиса могу заходить на машины клиентов на которых установлен OpenVPN и дальше могу видеть машины пользуясь внутренними локальными адресами. Все машины клиентов OpenVPN или имеют белый IP или в пределах локалки провайдера. Для текущих задач схема приемлемая. Удаленный офис находится в другом городе за … Короче, очень далеко. Пока работаю в пилотном режиме (нарабатываю статистику проблем и отказов pfsense), но думаю в скором будущем ставить pfsense на другом офисе и поднимать двухсторонний канал. Разворачивал пользуясь ветками нашего форума. Этой http://forum.pfsense.org/index.php/topic,28627.0.html и этой http://forum.pfsense.org/index.php/topic,7840.0.html Если заинтересует могу поделится информацией. У меня сносный перевод последнего поста немного дополненный от себя. Просто пытаюсь понять как работает openvpn и какие чечетки его можно заставить отплясывать. -
Кстати в сети есть книга "pfSense: The Definitive Guide" авторы Christopher M. Buechler, Jim Pingle думаю что для вас не новость…
Уже выложили бесплатно? Для меня - новость.
-
На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.
-
На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.
Что такое муветон? -))) чувствую - отстаю я в развитии…
-
_Как раз выкладывание пиратских ссылок на платные книги нехороший тон.
По крайней мере в отношении книги о pfSense и к ее авторам.
Люди старались написать бук, и естественно хотят за это получить какую-то оплату.
За разработку прямых гонораров никто не получает.С этим в личную почту пожалуйста.
dvserg_ -
Вот-вот, и я про то же, потому и не раскидываю ссылки.
@Evgeny:Что такое муветон? -)))
Это жаргонный перефраз слова моветон - фр. mauvais ton — дурной тон
-
да-да-да, я бы книжку купил, если бы только обложка была не синяя, а красная.
-
эх, жалко я ссылки не видел… забанил бы мгновенно и навечно, пришлось бы тебе ник менять. Это ж надо додуматься...
Ищите, качайте, но здесь этого мусора чтобы не было. -
Кстати в сети есть книга
спасибо.
-
Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)
-
Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)
;D Вот так и переписывают историю..
-
Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?
-
Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?
Открыть порты SMTP/POP3
-
Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?
Открыть порты SMTP/POP3
И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.
-
Че то не открываютца :D
Вобщем иду в Firewall: Rules: LAN
Почта работает, но соотвецтвенно и инет есть. Убераю правило "Tim to ANY" и нет ни инета ни почты.
Надо чтото еще открыть кроме ПОП3 и СМТП. Открывал ДНС - непомогает. -
И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.
Это не про это.. Открыть порты означает в данном случае разрешить юзеру ходить в инет по указанным портам.
Правило будет выглядеть так:ICMP *******
TCP/UDP * * * DNS * * *
…
TCP 10.10.10.9 * * 25 * SMTP
TCP 10.10.10.9 * * 110 * POP
x TCP 10.10.10.9 * * * * * -
ага, данке.
-
Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.
-
-
Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.
Это брутто, а нетто достаточно поп и смтп.
-
