Вопрос по доступу….
-
Народ. Я в этом делитант. Подскажите пожалуйста…
Вообщем что имею...
pfsense 1.2.3 + squid + squidGuard + Lightsquid + HAVP antivirus + File Mangerнастроил вроде всё. доступ в инет есть. вроде и антивирус работает. Вот в чём вопрос.
в интернет сейчас могут залесть все кто подключён к сети.
скажите, как ограничить доступ к интернету???пытался сделать так:
1. в настройках прокси включаю аутентификацию добовляю узера.....при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.
2. вторым спообом делал так:
включал Captive portal
в полях Idle timeout и Hard timeout выставил 480 минут (чтоб инет весь рабочий день был у человека без повторного подключения). ну естественно и юзера написал.... Вреде бы всё работает.... но инет всё-равно отключается через некоторое время.
Помогите пожалуйста.... -
По п.1 - в браузере не прописан прокси, либо не задан тип аутентификации в сквиде.
-
тогда смысл во всём этом???
если аутентификация включена а в браузере непрописано…...
должен наверно доступ в инет неработать........ -
тогда смысл во всём этом???
если аутентификация включена а в браузере непрописано…...
должен наверно доступ в инет неработать........в интернет сейчас могут залесть все кто подключён к сети.
скажите, как ограничить доступ к интернетупытался сделать так:
1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?
-
тогда смысл во всём этом???
если аутентификация включена а в браузере непрописано…...
должен наверно доступ в инет неработать........в интернет сейчас могут залесть все кто подключён к сети.
скажите, как ограничить доступ к интернетупытался сделать так:
1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?
тогда такой вопрос… как хапретить доступ из локалки наружу???
вот скрины...http://rghost.ru/3293777
ещё что сделано... включаю аутентификацию лакальную и добовляю юзера..... ничего не меняется.... -
у юзеров уберите шлюз или в pfsense запретите/разрешите нужные порты, в браузере пропишите прокси… тогда будет аутентификация...
-
Простая схема:
1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses -
Простая схема:
1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addressesпо порядку:
1. в первую очередь сделал
2. да это работаетНо… опять про своё...
ситуация такая.
есть 18 машин.
5 из них должно выходить в интернет с помощью каптив портал, ну или через аутентификацию на прокси (если разберусь),
у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.comпомогите разобратся... уже мозг кипит...
-
у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com
Почта какая? http/pop(imap) ?
-
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
нет, фильтрация обязательна…
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
нет, фильтрация обязательна…
Тогда настраивать все в proxy.
Вариант 1 доступ по IP компа.
В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.Вариант 2 доступ по паролю пользователя
В Auth settings выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.Captive Portal сюда мешать не стоит.
-
Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.
нет, фильтрация обязательна…
Тогда настраивать все в proxy.
Вариант 1 доступ по IP компа.
В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.Вариант 2 доступ по паролю пользователя
В Auth settings выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.Captive Portal сюда мешать не стоит.
А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?
-
А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?
Протоколы pop/smtp/imap не зависят от прокси и управляются с помощью правил файрвола. Прокси управляет только HTTP(s).
Transparent Proxy включен в обоих вариантах. Подразумевается, что мы не хотим настраивать клиентские браузеры на наш прокси - перенаправление должно идти автоматом. -
следующий вопрос такой, как ограничеть одно, одним ip и разрешить другое другим. (грубо сказал конечно)
-
Firewall - Rules.
Source - IP лишенца.
