Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Firewall rules

    Russian
    10
    30
    9567
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      azamad last edited by

      Доброво времени суток всем пользователям PfSense!
      Решил попробовать pfsense, но не смог понять правила фаервола.
      на pfsense настроено

      1. Lan (192.168.0.0) несколько компьютеров
      2. wan (pppoe) интернет
      3. ppptp-server (10.0.0.254)
        домашний компьютер ppptp-client (10.0.0.192)
        надо увидеть с клиента компьютер lan (192.168.0.50)
        перепробовал все написать всякие правила, но ничего не получается!
        за любую информацию по теме заранее спасибо!
      1 Reply Last reply Reply Quote 0
      • Z
        zar0ku1 last edited by

        скрины правил

        хотя не совсем понял причем тут фаервол

        1 Reply Last reply Reply Quote 0
        • A
          azamad last edited by

          точнее татические маршруты!

          1 Reply Last reply Reply Quote 0
          • T
            tudin last edited by

            Firewall > Rules > PPTP VPN

            add new rule

            Proto *
            Source PPTP clients
            Destination  *
            Port *
            Gateway *

            И будет тебе счастье :)
            зы. если нужны ограничения по PPTP клиентам правь Destination
            Да, и еще не назначай в свойствах PPTP клиента (Remote address range)  диапазон своей лакалки. Т.е если у тебя 192.168.0.0 то в поле Remote address range должно стоять 192.168.1.0
            В общем не имеет значения IP в поле Server address, но у тебя должен быть на pfsense WAN - "реальный (белый) IP или ты и твой рабочий хост должны находится в локалке одного провайдера. Подключаясь клиентом нужно указывать именно этот IP, а не тот что указан в поле Server address.
            И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)

            1 Reply Last reply Reply Quote 0
            • E
              Eugene last edited by

              @tudin:

              И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)

              Я тоже хочу, что б меня накрыло -( Присоветуй чё-нидь, а? -)

              1 Reply Last reply Reply Quote 0
              • T
                tudin last edited by

                Ничего из легального :)
                А вообще говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
                Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg last edited by

                  @tudin:

                  Ничего из легального :)
                  А вообше говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
                  Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

                  По VPN ?

                  1 Reply Last reply Reply Quote 0
                  • T
                    tudin last edited by

                    @dvserg:

                    @tudin:

                    По VPN ?

                    Ага - OpenVPN

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg last edited by

                      @dvserg:

                      @tudin:

                      По VPN ?

                      Ага - OpenVPN

                      А точки с одним/двумя компами есть? Как там сделано? Софтовый винВПН ?

                      1 Reply Last reply Reply Quote 0
                      • T
                        tudin last edited by

                        Прошу прощения за то что долго не отвечал.
                        У меня односторонний канал, т.е клиенты openVPN (все машины на ОС Windows, есть по несколько ПК ч-з NAT)  могут видеть компьютеры локальной сети за фаерволом (pfsense), а я с центрального офиса могу заходить на машины клиентов на которых установлен OpenVPN и дальше могу видеть машины пользуясь внутренними локальными адресами. Все машины клиентов OpenVPN или имеют белый IP или в пределах локалки провайдера. Для текущих задач схема приемлемая. Удаленный офис находится в другом городе за … Короче, очень далеко. Пока работаю в пилотном режиме (нарабатываю статистику проблем и отказов pfsense), но думаю в скором будущем ставить pfsense на другом офисе и поднимать двухсторонний канал. Разворачивал пользуясь ветками нашего форума. Этой http://forum.pfsense.org/index.php/topic,28627.0.html  и этой  http://forum.pfsense.org/index.php/topic,7840.0.html    Если заинтересует могу поделится информацией. У меня сносный перевод последнего поста немного дополненный от себя. Просто пытаюсь понять как  работает openvpn и какие чечетки его можно заставить отплясывать.

                        1 Reply Last reply Reply Quote 0
                        • E
                          Eugene last edited by

                          @tudin:

                          Кстати в сети есть книга "pfSense: The Definitive Guide" авторы Christopher M. Buechler, Jim Pingle думаю что для вас не новость…

                          Уже выложили бесплатно? Для меня - новость.

                          1 Reply Last reply Reply Quote 0
                          • T
                            tudin last edited by

                            На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

                            1 Reply Last reply Reply Quote 0
                            • E
                              Eugene last edited by

                              @tudin:

                              На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

                              Что такое муветон? -))) чувствую - отстаю я в развитии…

                              1 Reply Last reply Reply Quote 0
                              • D
                                dr.gopher last edited by

                                _Как раз выкладывание пиратских ссылок на платные книги нехороший тон.
                                По крайней мере в отношении книги о pfSense и к ее авторам.
                                Люди старались написать бук, и естественно хотят за это получить какую-то оплату.
                                За разработку прямых гонораров никто не получает.

                                С этим в личную почту пожалуйста.
                                dvserg_

                                1 Reply Last reply Reply Quote 0
                                • T
                                  tudin last edited by

                                  Вот-вот, и я про то же, потому и не раскидываю ссылки.
                                  @Evgeny:

                                  Что такое муветон? -)))

                                  Это жаргонный перефраз слова моветон - фр. mauvais ton — дурной тон

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    DasTieRR last edited by

                                    да-да-да, я бы книжку купил, если бы только обложка была не синяя, а красная.

                                    1 Reply Last reply Reply Quote 0
                                    • E
                                      Eugene last edited by

                                      эх, жалко я ссылки не видел… забанил бы мгновенно и навечно, пришлось бы тебе ник менять. Это ж надо додуматься...
                                      Ищите, качайте, но здесь этого мусора чтобы не было.

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        aleksvolgin last edited by

                                        Кстати в сети есть книга

                                        спасибо.

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          tudin last edited by

                                          Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dvserg last edited by

                                            @tudin:

                                            Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

                                            ;D Вот так и переписывают историю..

                                            1 Reply Last reply Reply Quote 0
                                            • Tim2000
                                              Tim2000 last edited by

                                              Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

                                              1 Reply Last reply Reply Quote 0
                                              • D
                                                dvserg last edited by

                                                @tim2000:

                                                Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

                                                Открыть порты SMTP/POP3

                                                1 Reply Last reply Reply Quote 0
                                                • E
                                                  Eugene last edited by

                                                  @dvserg:

                                                  @tim2000:

                                                  Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

                                                  Открыть порты SMTP/POP3

                                                  И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

                                                  1 Reply Last reply Reply Quote 0
                                                  • Tim2000
                                                    Tim2000 last edited by

                                                    Че то не открываютца  :D
                                                    Вобщем иду в Firewall: Rules: LAN


                                                    Почта работает, но соотвецтвенно и инет есть. Убераю правило "Tim to ANY" и нет ни инета ни почты.
                                                    Надо чтото еще открыть кроме ПОП3 и СМТП. Открывал ДНС - непомогает.

                                                    1 Reply Last reply Reply Quote 0
                                                    • D
                                                      dvserg last edited by

                                                      @Evgeny:

                                                      И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

                                                      Это не про это.. Открыть порты означает в данном случае разрешить юзеру ходить в инет по указанным портам.
                                                      Правило будет выглядеть так:

                                                      ICMP *******
                                                      TCP/UDP * * * DNS * * *
                                                      …
                                                      TCP 10.10.10.9 * * 25 * SMTP
                                                      TCP 10.10.10.9 * * 110 * POP
                                                      x  TCP 10.10.10.9 * * * * *

                                                      1 Reply Last reply Reply Quote 0
                                                      • Tim2000
                                                        Tim2000 last edited by

                                                        ага, данке.

                                                        1 Reply Last reply Reply Quote 0
                                                        • D
                                                          deutsche last edited by

                                                          Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

                                                          1 Reply Last reply Reply Quote 0
                                                          • E
                                                            Eugene last edited by

                                                            @deutsche:

                                                            Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

                                                            LOL

                                                            1 Reply Last reply Reply Quote 0
                                                            • D
                                                              dvserg last edited by

                                                              @deutsche:

                                                              Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

                                                              Это брутто, а нетто достаточно поп и смтп.

                                                              1 Reply Last reply Reply Quote 0
                                                              • Tim2000
                                                                Tim2000 last edited by

                                                                @deutsche:

                                                                Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

                                                                Знаем.

                                                                1 Reply Last reply Reply Quote 0
                                                                • First post
                                                                  Last post

                                                                Products

                                                                • Platform Overview
                                                                • TNSR
                                                                • pfSense
                                                                • Appliances

                                                                Services

                                                                • Training
                                                                • Professional Services

                                                                Support

                                                                • Subscription Plans
                                                                • Contact Support
                                                                • Product Lifecycle
                                                                • Documentation

                                                                News

                                                                • Media Coverage
                                                                • Press
                                                                • Events

                                                                Resources

                                                                • Blog
                                                                • FAQ
                                                                • Find a Partner
                                                                • Resource Library
                                                                • Security Information

                                                                Company

                                                                • About Us
                                                                • Careers
                                                                • Partners
                                                                • Contact Us
                                                                • Legal
                                                                Our Mission

                                                                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                                                Subscribe to our Newsletter

                                                                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                                                © 2021 Rubicon Communications, LLC | Privacy Policy