Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Вопрос по доступу….

    Scheduled Pinned Locked Moved Russian
    17 Posts 5 Posters 6.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimx
      last edited by

      Народ. Я в этом делитант. Подскажите пожалуйста…

      Вообщем что имею...
      pfsense 1.2.3 + squid  + squidGuard + Lightsquid  + HAVP antivirus + File Manger

      настроил вроде всё. доступ в инет есть. вроде и антивирус работает. Вот в чём вопрос.

      в интернет сейчас могут залесть все кто подключён к сети.
      скажите, как ограничить доступ к интернету???

      пытался сделать так:
      1. в настройках прокси включаю аутентификацию добовляю узера.....при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.
      2. вторым спообом делал так:
      включал Captive portal
      в полях Idle timeout и Hard timeout выставил 480 минут (чтоб инет весь рабочий день был у человека без повторного подключения). ну естественно и юзера написал.... Вреде бы всё работает.... но инет всё-равно отключается через некоторое время.
      Помогите пожалуйста....

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        По п.1 - в браузере не прописан прокси, либо не задан тип аутентификации в сквиде.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • D
          dimx
          last edited by

          тогда смысл во всём этом???
          если аутентификация включена а в браузере непрописано…...
          должен наверно доступ в инет неработать........

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            @dimx:

            тогда смысл во всём этом???
            если аутентификация включена а в браузере непрописано…...
            должен наверно доступ в инет неработать........

            в интернет сейчас могут залесть все кто подключён к сети.
            скажите, как ограничить доступ к интернету

            пытался сделать так:
            1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.

            Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • D
              dimx
              last edited by

              @dvserg:

              @dimx:

              тогда смысл во всём этом???
              если аутентификация включена а в браузере непрописано…...
              должен наверно доступ в инет неработать........

              в интернет сейчас могут залесть все кто подключён к сети.
              скажите, как ограничить доступ к интернету

              пытался сделать так:
              1. в настройках прокси включаю аутентификацию добовляю узера…..при этом отключаю "Transparent proxy", "Allow users on interface" при этом включён. порт 8080. НО инет всё-равно работает у всех.

              Ваши юзеры или ходят мимо прокси или не задана аутентификация. Так-же не закрыт доступ из локалки наружу. Если используется прокси - зачем разрешать прямой путь?

              тогда такой вопрос… как хапретить доступ из локалки наружу???
              вот скрины...http://rghost.ru/3293777
              ещё что сделано... включаю аутентификацию лакальную и добовляю юзера..... ничего не меняется....

              1 Reply Last reply Reply Quote 0
              • V
                Vtoroi
                last edited by

                у юзеров уберите шлюз или в pfsense запретите/разрешите нужные порты, в браузере пропишите прокси… тогда будет аутентификация...

                1 Reply Last reply Reply Quote 0
                • T
                  tudin
                  last edited by

                  Простая схема:
                  1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
                  Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
                  2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
                  по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses

                  1 Reply Last reply Reply Quote 0
                  • D
                    dimx
                    last edited by

                    @tudin:

                    Простая схема:
                    1. Переводишь управление пфсенс на другой порт: system > general > webGuiport что нибудь кроме 80 или 443
                    Почему так? Правило webGui Anti-lockout. Камень сильнее ножниц, потому что он их тупит :)))
                    2. В настройках сквида влючаешь транспарент прокси (в этой схеме он должен перехватывать весь http протокол) и настраиваешь что тебе нужно
                    по крайней мере без аутентификации ты можешь рулить доступом-запретом для пользователей в списке access control > banned host addresses

                    по порядку:
                    1. в первую очередь сделал
                    2. да это работает

                    Но… опять про своё...
                    ситуация такая.
                    есть 18 машин.
                    5 из них должно выходить в интернет с помощью каптив портал, ну или через аутентификацию на прокси (если разберусь),
                    у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

                    помогите разобратся... уже мозг кипит...

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg
                      last edited by

                      @dimx:

                      у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

                      Почта какая? http/pop(imap) ?

                      SquidGuardDoc EN  RU Tutorial
                      Localization ru_PFSense

                      1 Reply Last reply Reply Quote 0
                      • D
                        dimx
                        last edited by

                        @dvserg:

                        @dimx:

                        у остальных инета недолжно быть, но должен быть доступ к внешней почте (корпоративной) на gmail.com

                        Почта какая? http/pop(imap) ?

                        smtp
                        pop3
                        imap

                        port.png
                        port.png_thumb

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg
                          last edited by

                          Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • D
                            dimx
                            last edited by

                            @dvserg:

                            Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

                            нет, фильтрация обязательна…

                            1 Reply Last reply Reply Quote 0
                            • D
                              dvserg
                              last edited by

                              @dimx:

                              @dvserg:

                              Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

                              нет, фильтрация обязательна…

                              Тогда настраивать все в proxy.

                              Вариант 1 доступ по IP компа.
                              В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.

                              Вариант 2 доступ по паролю пользователя
                              В Auth settings   выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.

                              Captive Portal сюда мешать не стоит.

                              SquidGuardDoc EN  RU Tutorial
                              Localization ru_PFSense

                              1 Reply Last reply Reply Quote 0
                              • D
                                dimx
                                last edited by

                                @dvserg:

                                @dimx:

                                @dvserg:

                                Если не стоит задача фильтрации или подсчета трафика, то HTTP можно раздать правилами файрвола без CaptivePoral и proxy.

                                нет, фильтрация обязательна…

                                Тогда настраивать все в proxy.

                                Вариант 1 доступ по IP компа.
                                В режиме Transparent proxy думаю убираем галку Allow users on interface и прописываем в Allowed subnets IP адреса разрешенных компьютеров в виде 192.168.0.11/32. Значение /32 показывает что это конкретный один компьютер, а не подсеть.

                                Вариант 2 доступ по паролю пользователя
                                В Auth settings   выставить Authentication method в Local, а в Local Users задать список пользователей и раздать учетки нужным людям. Галку Allow users on interface при этом установить.

                                Captive Portal сюда мешать не стоит.

                                А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dvserg
                                  last edited by

                                  @dimx:

                                  А как быть с почтой во втором варианте? кстати во втором варианте Transparent proxy отключаем?

                                  Протоколы pop/smtp/imap не зависят от прокси и управляются с помощью правил файрвола. Прокси управляет только  HTTP(s).
                                  Transparent Proxy включен в обоих вариантах. Подразумевается, что мы не хотим настраивать клиентские браузеры на наш прокси - перенаправление должно идти автоматом.

                                  SquidGuardDoc EN  RU Tutorial
                                  Localization ru_PFSense

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dimx
                                    last edited by

                                    следующий вопрос такой, как ограничеть одно, одним ip и разрешить другое другим. (грубо сказал конечно)

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      deutsche
                                      last edited by

                                      Firewall - Rules.
                                      Source - IP лишенца.

                                      http://ru.doc.pfsense.org/

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.