Помогите настроить pfSense новичку..



  • Хочу приладить это чудо на работе.
    Возник ряд вопросов
    1.На версию pfSense 1.2.3  - lightsquid 1.8 ставиться? или обязательно 2.0
    и если да то как корректней это сделать.
    2 IMspector текущий 0.9 а в репозитариях 0.8 - 0.9  и как настроить клиентов
    3 FireWall настроить поэтапно для начала 50 машин, интернет и почту всем, аську избранным
    Outbound мануал, алясьясы по группам, дальше правила как ? на прокси прозрачный правило не нужно я так понимаю , оно автоматом, а на аську и почту? все остальное заблокировать.. а (DHCP. DNS) не надо вручную прописывать?



  • 1. Версия Lightsquid на 1.2.3 - 1.7.1
    2. Версия IMSPECTOR 0.8-9, а не 0.8 - 0.9 . На сколько в курсе - он прозрачный.
    3. Невнятно как-то. Посмотрите форум/HowTo/FAQ на портале для начала.



  • @grinnZ:

    аську избраннымOutbound мануал,

    Ежели это будет QIP то он ходит по 80му порту. Интересно как вы его будете закрывать. :-)

    @grinnZ:

    алясьясы по группам, дальше правила как ?

    Может внятно и по слогам…

    @grinnZ:

    на прокси прозрачный правило не нужно я так понимаю , оно автоматом, а на аську и почту?

    Имхо - через прокси никгода ничего кроме 80 потра не ходило. Даже с 443 пролбемы.

    @grinnZ:

    все остальное заблокировать..

    Заблокировать это можно. Только скайп никак. :-(

    @grinnZ:

    а (DHCP. DNS) не надо вручную прописывать?

    Оооочень невнятно!



  • Заблокировать все порты lan->any сначала, оставить почту (выясните какие порты вам нужны -интернет слишком общее понятие)
    Поставить непрозрачный сквид, прописать везде прокси (автоматизируется wpad, политиками ad).

    На клентах ставите тип соединения - DHCP, через него клиент получит ип, ип шлюза, днс, имя хоста.

    асечные клиенты  умеюют ходить через прокси.
    Если у вас юзеры не шибко шарят, то icq заработает только у тех, чей внтуренний ип вы добавите в алиас. Если хотите уж совсем жестко - layer7 фильтры из pfsense 2.0 вам в помощь.



  • Только скайп никак.

    если руки прямые и маршрутизатор адекватный - запросто  ;)



  • @aleksvolgin:

    Только скайп никак.

    если руки прямые и маршрутизатор адекватный - запросто  ;)

    Адекватный - можно модель в студию  ;)
    И доку в придачу…



  • Постораюсь понятно описать…
    VLAN пока не хочу делать.
    хочу сделать разбить сеть 192.168.2.0/24 по группам,
    допустим 192.168.2.10-192.168.2.50 - это администраци ( доступ к портам 80, 25,110 и вход в аську через IMspector)
    192.168.2.60-192.168.2.100 - просто интернет, с жесткой фильтрацией трафика
    192.168.2.100-192.168.2.120 - открыть определенные служебные порты



  • @grinnZ:

    Постораюсь понятно описать…
    VLAN пока не хочу делать.
    хочу сделать разбить сеть 192.168.2.0/24 по группам,

    DHCP с фиксацией MAC

    @grinnZ:

    допустим 192.168.2.10-192.168.2.50 - это администраци ( доступ к портам 80, 25,110 и вход в аську через IMspector)

    Firewall Rules. В 2.0 можно попробовать Layer7 на разрешающие правила.

    @grinnZ:

    192.168.2.60-192.168.2.100 - просто интернет, с жесткой фильтрацией трафика

    HTTP прозрачный squid + squidGuard - ACL по диапазонам (ко всей подсети относится)

    @grinnZ:

    192.168.2.100-192.168.2.120 - открыть определенные служебные порты

    Firewall Rules



  • а правила которые установлены по умолчанию удалять? и как правильно правила написать?



  • @grinnZ:

    а правила которые установлены по умолчанию удалять? и как правильно правила написать?

    Правила вы делаете по своим нуждам. Зависит от Ваших потребностей.


Log in to reply