4. Firewall rules

Firewall rules

  • A

    Доброво времени суток всем пользователям PfSense!
    Решил попробовать pfsense, но не смог понять правила фаервола.
    на pfsense настроено

    1. Lan (192.168.0.0) несколько компьютеров
    2. wan (pppoe) интернет
    3. ppptp-server (10.0.0.254)
      домашний компьютер ppptp-client (10.0.0.192)
      надо увидеть с клиента компьютер lan (192.168.0.50)
      перепробовал все написать всякие правила, но ничего не получается!
      за любую информацию по теме заранее спасибо!
    0
  • Z

    скрины правил

    хотя не совсем понял причем тут фаервол

    0
  • A

    точнее татические маршруты!

    0
  • T

    Firewall > Rules > PPTP VPN

    add new rule

    Proto *
    Source PPTP clients
    Destination  *
    Port *
    Gateway *

    И будет тебе счастье :)
    зы. если нужны ограничения по PPTP клиентам правь Destination
    Да, и еще не назначай в свойствах PPTP клиента (Remote address range)  диапазон своей лакалки. Т.е если у тебя 192.168.0.0 то в поле Remote address range должно стоять 192.168.1.0
    В общем не имеет значения IP в поле Server address, но у тебя должен быть на pfsense WAN - "реальный (белый) IP или ты и твой рабочий хост должны находится в локалке одного провайдера. Подключаясь клиентом нужно указывать именно этот IP, а не тот что указан в поле Server address.
    И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)

    0
  • E

    @tudin:

    И тут уж точно счастье тебя накроет огромной волной :) Вы просто с ним немного разминулись :)

    Я тоже хочу, что б меня накрыло -( Присоветуй чё-нидь, а? -)

    0
  • T

    Ничего из легального :)
    А вообще говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
    Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

    0
  • D

    @tudin:

    Ничего из легального :)
    А вообше говорят что "Никакой оргазм не сравнится с чувством, которое испытывает бухгалтер, когда у него сошёлся годовой баланс. "
    Сегодня запустил предприятие на pfsense у которого 2 разделенных офиса и 12 удаленных точек. Готов поспорить с выражением.  ;D

    По VPN ?

    0
  • T

    @dvserg:

    @tudin:

    По VPN ?

    Ага - OpenVPN

    0
  • D

    @dvserg:

    @tudin:

    По VPN ?

    Ага - OpenVPN

    А точки с одним/двумя компами есть? Как там сделано? Софтовый винВПН ?

    0
  • T

    Прошу прощения за то что долго не отвечал.
    У меня односторонний канал, т.е клиенты openVPN (все машины на ОС Windows, есть по несколько ПК ч-з NAT)  могут видеть компьютеры локальной сети за фаерволом (pfsense), а я с центрального офиса могу заходить на машины клиентов на которых установлен OpenVPN и дальше могу видеть машины пользуясь внутренними локальными адресами. Все машины клиентов OpenVPN или имеют белый IP или в пределах локалки провайдера. Для текущих задач схема приемлемая. Удаленный офис находится в другом городе за … Короче, очень далеко. Пока работаю в пилотном режиме (нарабатываю статистику проблем и отказов pfsense), но думаю в скором будущем ставить pfsense на другом офисе и поднимать двухсторонний канал. Разворачивал пользуясь ветками нашего форума. Этой http://forum.pfsense.org/index.php/topic,28627.0.html  и этой  http://forum.pfsense.org/index.php/topic,7840.0.html    Если заинтересует могу поделится информацией. У меня сносный перевод последнего поста немного дополненный от себя. Просто пытаюсь понять как  работает openvpn и какие чечетки его можно заставить отплясывать.

    0
  • E

    @tudin:

    Кстати в сети есть книга "pfSense: The Definitive Guide" авторы Christopher M. Buechler, Jim Pingle думаю что для вас не новость…

    Уже выложили бесплатно? Для меня - новость.

    0
  • T

    На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

    0
  • E

    @tudin:

    На платные книги ссылки давать муветон, но как говорится кто ищет тот всегда найдет.

    Что такое муветон? -))) чувствую - отстаю я в развитии…

    0
  • D

    _Как раз выкладывание пиратских ссылок на платные книги нехороший тон.
    По крайней мере в отношении книги о pfSense и к ее авторам.
    Люди старались написать бук, и естественно хотят за это получить какую-то оплату.
    За разработку прямых гонораров никто не получает.

    С этим в личную почту пожалуйста.
    dvserg_

    0
  • T

    Вот-вот, и я про то же, потому и не раскидываю ссылки.
    @Evgeny:

    Что такое муветон? -)))

    Это жаргонный перефраз слова моветон - фр. mauvais ton — дурной тон

    0
  • D

    да-да-да, я бы книжку купил, если бы только обложка была не синяя, а красная.

    0
  • E

    эх, жалко я ссылки не видел… забанил бы мгновенно и навечно, пришлось бы тебе ник менять. Это ж надо додуматься...
    Ищите, качайте, но здесь этого мусора чтобы не было.

    0
  • A

    Кстати в сети есть книга

    спасибо.

    0
  • T

    Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

    0
  • D

    @tudin:

    Да не было, не было ссылки!!! Каюсь… А то что грешным делом прочитал выбиваю искуственной амнезией. Бью себя сковородкой по голове. Все косвенные упоминания удалил редактировав свои посты. Мир? :)

    ;D Вот так и переписывают историю..

    0
  • T

    Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

    0
  • D

    @tim2000:

    Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

    Открыть порты SMTP/POP3

    0
  • E

    @dvserg:

    @tim2000:

    Ну вот, настраиваю с нуля и уже не соображает голова - как сделать чтоб у определённого компа была почта, но небыло инета?

    Открыть порты SMTP/POP3

    И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

    0
  • T

    Че то не открываютца  :D
    Вобщем иду в Firewall: Rules: LAN


    Почта работает, но соотвецтвенно и инет есть. Убераю правило "Tim to ANY" и нет ни инета ни почты.
    Надо чтото еще открыть кроме ПОП3 и СМТП. Открывал ДНС - непомогает.

    0
  • D

    @Evgeny:

    И потенциально поместить свой public IP в один из спаммерских black-list'ов. Нехорошая идея открывать порт 25. Если мэйл-сервер не свой, то посмотри у провайдера в faq - многие для smtp открывают другие порты, самые "продвинутые" дают 'secure-smtp', через ssl.

    Это не про это.. Открыть порты означает в данном случае разрешить юзеру ходить в инет по указанным портам.
    Правило будет выглядеть так:

    ICMP *******
    TCP/UDP * * * DNS * * *

    TCP 10.10.10.9 * * 25 * SMTP
    TCP 10.10.10.9 * * 110 * POP
    x  TCP 10.10.10.9 * * * * *

    0
  • T

    ага, данке.

    0
  • D

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    0
  • E

    @deutsche:

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    LOL

    0
  • D

    @deutsche:

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    Это брутто, а нетто достаточно поп и смтп.

    0
  • T

    @deutsche:

    Надеюсь вы знаете, что есть еще и IMAP, а также SSL версии портов.

    Знаем.

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy