Базовые вопросы по pfSense



  • Добрый день всем!
    Установил pfSense 2.0.1, настроил кое что необходимое, но появляются вопросы.

    1. Firewall
      -Если правило не существует(например для WAN), то по умолчанию получается так?: Запрещено все, кроме разрешенного.
      -Как работает приоритет правил? Можно ли его изменить?
    2. IP в локалку будет раздавать DHCP, можно ли будет на основании выданных IP сделать привязку к MAC адресам, чтобы не запиливать их руками(около 40шт)?
    3. Какой способ выбрать, чтобы на основании IP/MAC резать скорость определенным хостам в локалке?
    4. Существует ли сниффер для pfSense? Руководство может затребовать снифать переписку в мессенжерах, почте, данные по HTTP.
      Спасибо всем кто уделит пару минут! ;)


  • @radiow:

    Добрый день всем!
    Установил pfSense, настроил кое что необходимое, но появляются вопросы.

    1. Firewall
      -Если правило не существует(например для WAN), то по умолчанию получается так?: Запрещено все, кроме разрешенного.
      -Как работает приоритет правил? Можно ли его изменить?

    Говорим о pfSense 2.х !
    На интерфейсах правило по умолчанию  - "запретить все входящие". То есть пакеты исходящие из pfSense все разрешены.
    Поэтому все создаваемые правила относятся к пакетам, входящим в pfSense.

    @radiow:

    1. IP в локалку будет раздавать DHCP, можно ли будет на основании выданных IP сделать привязку к MAC адресам, чтобы не запиливать их руками(около 40шт)?

    Да - DHCP - внизу список
    @radiow:

    1. Какой способ выбрать, чтобы на основании IP/MAC резать скорость определенным хостам в локалке?

    Squid, Captive Portal, Traffic Shaper на выбор в зависимости от используемых пакетов.
    @radiow:

    1. Существует ли сниффер для pfSense? Руководство может затребовать снифать переписку в мессенжерах, почте, данные по HTTP.

    Это разные задачи. Мессенжеры - был пакет IMSpector. Почта - см. пакет postfix. HTTP - squid + Lightsquid.



  • Спасибо за ответы!
    Объясните пжлст по VPN:
    Настроил OpenVPN сервер:
    Virtual Network 10.10.10.10/24
    Local Network 192.168.1.0/24
    Клиенты получают адреса из сети 10.10.10.0/24, как дать им доступ к ресурсам сети 192.168.1.0/24 ?



  • 1. Настроить правила
    2. Прописать в OpenVPN роутинг при необходимости.

    Тема уже поднималась.



  • Правила добавить в Firewall: Rules: OpenVPN

    ап: dvserg всесущий!  ;D



  • Там Wizard создал вот такое правило:



  • ну



  • Ну все работает, спасибо))))



  • Подскажите, можноли в PFSENCE 2.0.1 подключится вместо WAN к LAN серверу (раздающему интернет) посредством DNS.



  • @JackHammer:

    Подскажите, можноли в PFSENCE 2.0.1 подключится вместо WAN к LAN серверу (раздающему интернет) посредством DNS.

    Эээ.. Попробуйте по другому спросить - может понятнее получится.



  • Спасибо за  быстрый ответ, я выразился неправильно, есть сервер раздающий интернет посредством DNS, мне нужно чтобы трафик проходил с него на PFSENSE сервер, просто при настройке он просит ввести WAN интерфейс а мне нужен LAN.



  • @JackHammer:

    Спасибо за  быстрый ответ, я выразился неправильно, есть сервер раздающий интернет посредством DNS, мне нужно чтобы трафик проходил с него на PFSENSE сервер, просто при настройке он просит ввести WAN интерфейс а мне нужен LAN.

    К сожалению лично я смутно представляю себе такое. В интернете есть подробное описание таких серверов? Для меня DNS - это служба, позволяющая преобразовывать имена в IP адреса. А как с ее помощью интернет раздавать?



  • Друзья, разморочте пожалуйста.
    Поднял я OpenVPN с параметрами что писал выше.
    Пришел домой, подключаюсь к VPN серверу, получаю от него IP 10.10.10.6/255.255.255.252
    Дома сетка 192.168.10.0/24
    В офисе 192.168.1.0/24
    И не могу получить доступ к ресурсам сети 192.168.1.0 Ни ping, ни браузер не хотят находит сервера внутри корпоративной сетки. Я так понимаю, что если есть правило в Firewall->Rules->OpenVPN(как на скриншоте выше), то pfsense должен без препятствий маршрутизировать мои пакеты из виртуальной сети(10.10.10.0) в локальную сеть офиса(192.168.1.0)?



  • @radiow:

    Друзья, разморочте пожалуйста.
    Поднял я OpenVPN с параметрами что писал выше.
    Пришел домой, подключаюсь к VPN серверу, получаю от него IP 10.10.10.6/255.255.255.252
    Дома сетка 192.168.10.0/24
    В офисе 192.168.1.0/24
    И не могу получить доступ к ресурсам сети 192.168.1.0 Ни ping, ни браузер не хотят находит сервера внутри корпоративной сетки. Я так понимаю, что если есть правило в Firewall->Rules->OpenVPN(как на скриншоте выше), то pfsense должен без препятствий маршрутизировать мои пакеты из виртуальной сети(10.10.10.0) в локальную сеть офиса(192.168.1.0)?

    Тема поднималась - ищите по форуму поиском.



  • Потребовалось переконфигурить OpenVPN сервер. Делал все в точности так же как и первый раз. Теперь при попытке коннекта к серверу VPN клиентом, говорит:  
    read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
    Все правила были созданы Wizard'ом как и в прошлый раз. Если разрешаю на WAN ICMP траффик, то ping работает, следовательно правила отрабатывают нормально. В чем дело?



  • Решил. Увеличил Concurrent connections с 5 до 10
    Через 10 мин:
    Нет. Один раз подключился и опять не хочет((
    Через 5 мин:
    Теперь опять подключается. Не понятно что происходит.
    Вобщем сейчас хоть и подключается, но роутинга во внутреннюю сетку нет. Причем после того как происходит подключение и VPN сервер дает мне адрес из вирт сети 10.10.10.0 не открываются сайты в браузере но мессенжеры в онлайне. Похоже DNS



  • Приветствую всех. Скажите, каким инструментом в PFSense 2 можно отслеживать кол-во потребленного трафика по каждому хосту, а конкретней сколько было передано/получено трафика с LAN на WAN и наоборот?
    IP адреса раздает DHCP.

    И еще такой вопрос:
    В PFtop вижу следующее:

    PR    D SRC                  DEST                STATE  AGE  EXP  PKTS BYTES
    tcp  I 192.168.1.113:1029    88.212.207.7:8000    4:4  9023 86400  148K  143M
    tcp  O 192.168.1.113:1029    88.212.207.7:8000    4:4  9023 86400  148K  143M

    Т.е. клиент в локальной сети через порт 1029 ломится на 88.212.207.7:8000
    Создаю правило в LAN на запрет всего по 1029 и 8000 порту, а трафик все равно идет оттуда. Правильно ли я создаю правило?
    Спасибо!



  • @radiow:

    Приветствую всех. Скажите, каким инструментом в PFSense 2 можно отслеживать кол-во потребленного трафика по каждому хосту, а конкретней сколько было передано/получено трафика с LAN на WAN и наоборот?
    IP адреса раздает DHCP.

    И еще такой вопрос:
    В PFtop вижу следующее:

    PR    D SRC                   DEST                 STATE   AGE   EXP  PKTS BYTES
    tcp   I 192.168.1.113:1029    88.212.207.7:8000     4:4   9023 86400  148K  143M
    tcp   O 192.168.1.113:1029    88.212.207.7:8000     4:4   9023 86400  148K  143M

    Т.е. клиент в локальной сети через порт 1029 ломится на 88.212.207.7:8000
    Создаю правило в LAN на запрет всего по 1029 и 8000 порту, а трафик все равно идет оттуда. Правильно ли я создаю правило?
    Спасибо!

    Надо блокировать только порт назначения, т.е. 8000, исходящий порт любой. Vnstat показывает трафик. По каждому хосту тема поднималась, ищите тему подсчёт трафика, ipcad…



  • Да так и сделал. А ничего, что у меня внизу под всеми правилами есть правило которое разрешает вообще ВСЕ для LAN? Т.е. одни звездочки. Но повторяю оно в самом низу.



  • Скажите, а надо ли после установки IMspector добавлять такое правило:
    ICQ/AIM: iptables -t nat -A PREROUTING -p tcp –destination-port 5190 -j REDIRECT --to-ports 16667
    Как это сделать в PFSense?



  • Правило должно автоматом создаваться пакетом. Но увидеть его можно только в rules.debug



  • @radiow:

    Да так и сделал. А ничего, что у меня внизу под всеми правилами есть правило которое разрешает вообще ВСЕ для LAN? Т.е. одни звездочки. Но повторяю оно в самом низу.

    Правила читаются сверху вниз, запрещающее правило должно быть вверху, кстати проверьте протокол исходящий, поставьте в any.
    Про звёздочки не знаю, у меня всегда lan subnet, ну или явно задаю если отличное от лана что-то прописываю.



  • Снова привет всем. Поиск по форуму не дает желаемого результата.
    Сможет ли кто-нибудь подсказать средство для учета трафика локальных юзеров? Нужно считать полученный/переданный траф в инет и наоборот. IP раздает DHCP.



  • @radiow:

    Снова привет всем. Поиск по форуму не дает желаемого результата.
    Сможет ли кто-нибудь подсказать средство для учета трафика локальных юзеров? Нужно считать полученный/переданный траф в инет и наоборот. IP раздает DHCP.

    http://forum.pfsense.org/index.php/topic,21394.0.html



  • Всем привет. Не могу победить одну вещь. Вот здесь:

    видим что есть трафик с узла 192.168.1.113 на 8000 порт удаленного хоста.
    Создаю вот такое правило в фаерволе:

    Применяю изменения, но трафик так же течет. В чем дело?



  • Нужно сбросить таблицу состояний.


Log in to reply