Вопрос по доступу….



  • Народ. Я в этом делитант. Подскажите пожалуйста…

    Вообщем что имею...
    pfsense 1.2.3 + squid  + squidGuard + Lightsquid  + HAVP antivirus + File Manger

    настроил вроде всё. доступ в инет есть. вроде и антивирус работает. Вот в чём вопрос.

    в интернет сейчас могут залесть все кто подключён к сети.
    скажите, как ограничить доступ к интернету???

    пытался сделать так:
    1. в настройках прокси включаю аутентификацию добовляю узера.....при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.
    2. вторым спообом делал так:
    включал Captive portal
    в полях Idle timeout и Hard timeout выставил 480 минут (чтоб инет весь рабочий день был у человека без повторного подключения). ну естественно и юзера написал.... Вреде бы всё работает.... но инет всё-равно отключается через некоторое время.
    Помогите пожалуйста....



  • По п.1 - в браузере не прописан прокси, либо не задан тип аутентификации в сквиде.



  • тогда смысл во всём этом???
    если аутентификация включена а в браузере непрописано…...
    должен наверно доступ в инет неработать........



  • @dimx:

    тогда смысл во всём этом???
    если аутентификация включена а в браузере непрописано…...
    должен наверно доступ в инет неработать........

    в интернет сейчас могут залесть все кто подключён к сети.
    скажите, как ограничить доступ к интернету

    пытался сделать так:
    1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.

    Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?



  • @dvserg:

    @dimx:

    тогда смысл во всём этом???
    если аутентификация включена а в браузере непрописано…...
    должен наверно доступ в инет неработать........

    в интернет сейчас могут залесть все кто подключён к сети.
    скажите, как ограничить доступ к интернету

    пытался сделать так:
    1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.

    Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?

    тогда такой вопрос… как хапретить доступ из локалки наружу???
    вот скрины...http://rghost.ru/3293777
    ещё что сделано... включаю аутентификацию лакальную и добовляю юзера..... ничего не меняется....



  • у юзеров уберите шлюз или в pfsense запретите/разрешите нужные порты, в браузере пропишите прокси… тогда будет аутентификация...



  • Простая схема:
    1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
    Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
    2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
    по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses



  • @tudin:

    Простая схема:
    1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
    Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
    2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
    по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses

    по порядку:
    1. в первую очередь сделал
    2. да это работает

    Но… опять про своё...
    ситуация такая.
    есть 18 машин.
    5 из них должно выходить в интернет с помощью каптив портал, ну или через аутентификацию на прокси (если разберусь),
    у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

    помогите разобратся... уже мозг кипит...



  • @dimx:

    у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

    Почта какая? http/pop(imap) ?



  • @dvserg:

    @dimx:

    у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

    Почта какая? http/pop(imap) ?

    smtp
    pop3
    imap




  • Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.



  • @dvserg:

    Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

    нет, фильтрация обязательна…



  • @dimx:

    @dvserg:

    Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

    нет, фильтрация обязательна…

    Тогда настраивать все в proxy.

    Вариант 1 доступ по IP компа.
    В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.

    Вариант 2 доступ по паролю пользователя
    В Auth settings   выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.

    Captive Portal сюда мешать не стоит.



  • @dvserg:

    @dimx:

    @dvserg:

    Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

    нет, фильтрация обязательна…

    Тогда настраивать все в proxy.

    Вариант 1 доступ по IP компа.
    В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.

    Вариант 2 доступ по паролю пользователя
    В Auth settings   выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.

    Captive Portal сюда мешать не стоит.

    А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?



  • @dimx:

    А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?

    Протоколы pop/smtp/imap не зависят от прокси и управляются с помощью правил файрвола. Прокси управляет только  HTTP(s).
    Transparent Proxy включен в обоих вариантах. Подразумевается, что мы не хотим настраивать клиентские браузеры на наш прокси - перенаправление должно идти автоматом.



  • следующий вопрос такой, как ограничеть одно, одним ip и разрешить другое другим. (грубо сказал конечно)



  • Firewall - Rules.
    Source - IP лишенца.


Locked