Okul için çözüm



  • istanbulda bir ilköğretim okulunda pfsense ile internete erişimimiz var. Öncelikle Güvenli İnterneti çıkartanlara bir teşekkür borçluyuz. Bir çok sorunumuzu çözdü(18+ anlamında) ama kablosuzdan yada öğretmeneler odası gibi yerlerden internete erişim için sıkıntılar devam ediyor. Akşam baktım biri 650 mb avi film indirmiş. lightquid ile ip belli ama o saat kim indirdi çözemiyorum. uzantı yasaklasan bu sefer rar ile forumlardan part part indiriyor yada utorrent ile indiriyorlar bir türlü çözemedim .  captive portal kursam onda kullanıcı bazlı rapor almak pek mümkün değil gibi okudum sizce ne yapmalı



  • Merhabalar,

    Size tavsiyem kablosuz ile kablolu olarak kullandığınız ağları birbirinden switch üzerinden vlan oluşturarak ayırmanız. eğer mümkün değilse ufak bir swicth alıp AP o swicth üzerinde toplarsınız. Bu size daha iyi bir güvenlik ve ağınızı yönetmede daha kolaylık sağlayacaktır. Ayırdığınız ağları vlan kullanmışsanız pfsense üzerinde vlan tanımlayıp oradan yeni bir interface olarak tanımlayabilirsiniz. Eğer vlan yapmadıysanız pfsense farklı bir ethernet üzerinden yeni bir interface oluşturursunuz.

    Bir proje kapsamında özel bir okula yaptığımız firewall projesinde pfsense kullanmıştım. Orada 5 adet internet çıkışı, içeride de 5 adet farklı ağ yapısı vardı. Bütün hepsini vlan oluşturarak pfsense üzerinde 2 ethernet kartı üzerinden hallettik.



  • bir pc için mac adresini sabit ipye atayıp dhpc den çıkardım ve firewall lan kurallarından o ip yi blok yaptım bilmediğim pc leri 1 gruba toplayıp tek kuralla bunu yapabilirmiyim.

    p2p trafiğini nasıl engellerim  layer 7 ile ilgili çözümü deneyip sonuç alan var mı



  • @hasanfahri:

    bir pc için mac adresini sabit ipye atayıp dhpc den çıkardım ve firewall lan kurallarından o ip yi blok yaptım bilmediğim pc leri 1 gruba toplayıp tek kuralla bunu yapabilirmiyim.

    p2p trafiğini nasıl engellerim  layer 7 ile ilgili çözümü deneyip sonuç alan var mı

    torrent gibi çoğu p2p programları bildiğiniz üzere port kullanır aliases kısmına ihtiyacınız olan standart portları bir gurup olarak tanımlayın örn 80,443,3389,22,25,587,110, bu kuyruk ihtiyaçlara göre uzar. daha sonra firewall dan Lan bacağına bir kural tanımlarsınız sadece açtığınız aliases portlara izin verip diğer portları kapatan bir kural yapacaksın 2 ader resim göndereyim fikir olarak bunlar iş görecektir büyük ihtimalle. Kırmızı ile işaretlediğim yerdeki kuralları ekleyeceksin.

    bu sayede utorrent gibi programlar portlardan geçiş yapamaz.

    ayrıca snort gibi eklentilerle p2p ye block atılabiliniyor ama şu ara ben snortu sağlıklı çalıştıramıyorum.






  • dediklerinizi yapınca tüm trafik kesildi neden acaba






  • mutlaka biryerde hata yapıyorsunuz konfigrasyonu kontrol edip tekrar inceledikten sonra kuralları aktif edin.



  • mantık olarak lana eklenen kural wan rule içinde eklenmesi gerekmez mi bir aralar kerio kullanıyordum onda öyleydi açılacak port hem lan hem de wan tarafına kural olarak ekleniyordu bunda da öyle olmasın



  • hayır kurallar lan taraf ta olcak o ekran görüntülerini çalışan bir sistem üstünden çektim.



  • bende aynı kuralları tanımladım benimde internet gitti. en alta bulunan lan net block ayarını sildim düzeldi.



  • peki alttaki block kuralı silinince sadece tanımlı portlardan mı dışarı çıkıyor yoksa p2p ler yine aktif mi sizde



  • eğer squid aktif ise squid portuna gelen isteklere de izin vermeniz gerekiyor.



  • squid ve squidguard var onun için nasıl bir izin gerekli



  • ekteki resimdeki gibi



Locked