Помогите настроить pfSense новичку..
-
Хочу приладить это чудо на работе.
Возник ряд вопросов
1.На версию pfSense 1.2.3 - lightsquid 1.8 ставиться? или обязательно 2.0
и если да то как корректней это сделать.
2 IMspector текущий 0.9 а в репозитариях 0.8 - 0.9 и как настроить клиентов
3 FireWall настроить поэтапно для начала 50 машин, интернет и почту всем, аську избранным
Outbound мануал, алясьясы по группам, дальше правила как ? на прокси прозрачный правило не нужно я так понимаю , оно автоматом, а на аську и почту? все остальное заблокировать.. а (DHCP. DNS) не надо вручную прописывать? -
1. Версия Lightsquid на 1.2.3 - 1.7.1
2. Версия IMSPECTOR 0.8-9, а не 0.8 - 0.9 . На сколько в курсе - он прозрачный.
3. Невнятно как-то. Посмотрите форум/HowTo/FAQ на портале для начала. -
аську избраннымOutbound мануал,
Ежели это будет QIP то он ходит по 80му порту. Интересно как вы его будете закрывать. :-)
алясьясы по группам, дальше правила как ?
Может внятно и по слогам…
на прокси прозрачный правило не нужно я так понимаю , оно автоматом, а на аську и почту?
Имхо - через прокси никгода ничего кроме 80 потра не ходило. Даже с 443 пролбемы.
все остальное заблокировать..
Заблокировать это можно. Только скайп никак. :-(
а (DHCP. DNS) не надо вручную прописывать?
Оооочень невнятно!
-
Заблокировать все порты lan->any сначала, оставить почту (выясните какие порты вам нужны -интернет слишком общее понятие)
Поставить непрозрачный сквид, прописать везде прокси (автоматизируется wpad, политиками ad).На клентах ставите тип соединения - DHCP, через него клиент получит ип, ип шлюза, днс, имя хоста.
асечные клиенты умеюют ходить через прокси.
Если у вас юзеры не шибко шарят, то icq заработает только у тех, чей внтуренний ип вы добавите в алиас. Если хотите уж совсем жестко - layer7 фильтры из pfsense 2.0 вам в помощь. -
Только скайп никак.
если руки прямые и маршрутизатор адекватный - запросто ;)
-
Только скайп никак.
если руки прямые и маршрутизатор адекватный - запросто ;)
Адекватный - можно модель в студию ;)
И доку в придачу… -
Постораюсь понятно описать…
VLAN пока не хочу делать.
хочу сделать разбить сеть 192.168.2.0/24 по группам,
допустим 192.168.2.10-192.168.2.50 - это администраци ( доступ к портам 80, 25,110 и вход в аську через IMspector)
192.168.2.60-192.168.2.100 - просто интернет, с жесткой фильтрацией трафика
192.168.2.100-192.168.2.120 - открыть определенные служебные порты -
Постораюсь понятно описать…
VLAN пока не хочу делать.
хочу сделать разбить сеть 192.168.2.0/24 по группам,DHCP с фиксацией MAC
допустим 192.168.2.10-192.168.2.50 - это администраци ( доступ к портам 80, 25,110 и вход в аську через IMspector)
Firewall Rules. В 2.0 можно попробовать Layer7 на разрешающие правила.
192.168.2.60-192.168.2.100 - просто интернет, с жесткой фильтрацией трафика
HTTP прозрачный squid + squidGuard - ACL по диапазонам (ко всей подсети относится)
192.168.2.100-192.168.2.120 - открыть определенные служебные порты
Firewall Rules
-
а правила которые установлены по умолчанию удалять? и как правильно правила написать?
-
а правила которые установлены по умолчанию удалять? и как правильно правила написать?
Правила вы делаете по своим нуждам. Зависит от Ваших потребностей.