правила pfsense, помогите разобраться



  • помогите кто-нибудь!!! никак не могу вкурить логику создания правил… LAN... WAN... как создать правило ограничивающее например доступ на mail.ru? или закрывающее определенный порт? на каком интерфейсе его создавать? в этом то и вся загвоздка - 2 интерфейса и правила для них, не врублюсь никак... мне бы кто детально хотябы один пример разжевал, тогда наверное пойму.



  • Какая версия pfSense и что хотите сделать?



  • закрыть доступ на маил.ру… пробовал через алиасы, но что-то не работает. нужно чтобы кто-нибудь разхжевал, а-ля: нажимаем суда, пишем в этом поле вот это, а в том поле вот то, применяем... или сцылу на то где это описано. нужно просечь ограничение по портам и по url. а самое главное - это 2 интерфейса... зачем 2 и как их использовать? pfsense 1.2.3



  • в этом то и вся загвоздка - 2 интерфейса и правила для них, не врублюсь никак…

    А схему подключения можете нарисовать, что у Вас уже есть и настроено?



  • схема подключения простая - в машинке на которой PF 2 сетевых интерфейса, один смотрит в локальную сеть, другой соответственно напрямую в интернет (белый ip). в самом pf еще ничего не настроенно толком, поставил squid, light squid, squid guard (появилось еще одно меню с возможностью создания запрещенных УРЛ, тоже пока не вкурил). после isa'шника в pf ВСЁ по-другому… причем еще вопрос - при создании правила на каждом интерфейсе есть опять-таки меню выбора интерфейса через который это правило будет применяться  ??? . на интерфейсе lan я изменил правило по умолчанию с разрешающего на запрещающее - заработало, на ВАН интерфейсе это же правило не пашет... короче я же говорю, наверное лучше один раз на конкретном примере посмотреть как закрыть порт и url и на каком интерфейсе правила эти создавать, тогда все встанет на свои места...



  • Два интерфейса в правилах соответствуют двум направлениям трафика. На WAN блокируется/пропускается трафик идущий извне в локальную сеть. На LAN - напротив, то, что идет из локальной сети вовне. При этом pfSense - это stateful firewall. Если компьютер локальной сети инициирует соединение с удаленным хостом в интернет и это разрешено правилами LAN, то ответы удаленного хоста не подвергаются обработке правилами WAN.
    Правила обрабатываются последовательно, сверху вниз до первого совпадения (в 1.2.3). Т. е. нет смысла помещать запрещающее правило, блокирующее например mail.ru, ниже правила по умолчанию, которое разрешает все компьютерам локальной сети.



  • получается что все можно запретить только правилами ЛАН? потому что если чел рнапример хочет зайти на майл ру, он инициирует соединение из локальной сети - создаем запрещение на LAN интерфейсе (по УРЛ например), если он установил майл.ру агент - тоже создаем запрещение на LAN (запрещаем порт например). А вот скажем если к компьютеру требуется подключиться через РДП из дома, то тут уже надо создавать правило в WAN потому что в LAN такое запрещение работать никак не будет? тогда получается что можно вообще все перекрыть на ВАН, потому что все запросы у юзеров инициируются из локалки… и какую роль выполняет при создании правил строка interface и зачем тогда вообще строка source?



  • @aliennick:

    получается что все можно запретить только правилами ЛАН? потому что если чел рнапример хочет зайти на майл ру, он инициирует соединение из локальной сети - создаем запрещение на LAN интерфейсе (по УРЛ например), если он установил майл.ру агент - тоже создаем запрещение на LAN (запрещаем порт например). А вот скажем если к компьютеру требуется подключиться через РДП из дома, то тут уже надо создавать правило в WAN потому что в LAN такое запрещение работать никак не будет? тогда получается что можно вообще все перекрыть на ВАН, потому что все запросы у юзеров инициируются из локалки… и какую роль выполняет при создании правил строка interface и зачем тогда вообще строка source?

    Все определяется инициатором соединения (source). Для подключений от локальных пользователей рулится на LAN, для доступа из дома на WAN.

    Поле Interfaces определяется к какому интерфейсу относится данное правило. Если вы его поменяете в правиле, то оно переместиться в нужный раздел.



  • о как оказывается… перемещается... поигрался, поперемещал... изменил правило в интерфейсе прописал РРТР и оно вообсче исчезло - нет его ни в ВАНе ни в ЛАНе, а наверху горит все еще мол нажмите кнопку что-б применить изменения. куда оно делося и как теперь убрать кнопочку о применении из-менений? а по поводу своих рассуждений на тему "закрыть все на WAN'е" я прав или нет? ах да, еще вопросик: general setup - domain, у нас поднят домен, как эта строка должна работать? вообще PF с домном дружит? и если да то в чем это выражается?


Log in to reply