ThunderBird не пашет

pix_l

Приветствую.
Недавно поставил pfsense - штука реально классная. Если бы и полное руководство к нему было на русском - цены бы не было. Ставил на машину с 3 сетевыми картами (дополнительно устанавливал squid+lightsquid+havp+squidguard). Прокси не прозрачный. Производится проверка по IP пользователя для выхода в инет. Сначала не мог запустить OPT1 (точнее не мог выпустить локалку в инет), но путем сброса настроек файервола кое как получилось. Остались только несколько моментов, которые просто убивают. Во-первых никак не могу заставить почтового клиента отправлять/принимать письма. Порты 25 и 110 и на LAN и на WAN открыл - не помогает. Хотел outlook настроить (думал в тандере проблема), так нет, тоже не хочет принимать. Подскажите куда копать. Это первый вопрос. Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо). Ну и на последок, подскажите, можно ли где нить поменять содержимое, которое выводится при попытке входа незарегенного IP в инет. Там вроде 4 строки выводятся про то что доступ запрещен, название системы и IP адрес клиента. так бы вставить какую нить картинку с содержательным посылом.
P.S. Как же долго я не мог зарегиться на этом сайте.

werter

Если бы и полное руководство к нему было на русском - цены бы не было.

Да пожалуйста - /* книга копирайтная, с этим лучше в приват. dvserg */ (pfSENSE 2 Cookbook на великом и могучем). Читаем - разбираемся.

dr.gopher

@pix_l:

Ставил на машину с 3 сетевыми картами

1. два WAN или два LAN

@pix_l:

Производится проверка по IP пользователя для выхода в инет.

Каптивным порталом, сквидом, в ДХЦП по мак адресам?

@pix_l:

Во-первых никак не могу заставить почтового клиента отправлять/принимать письма. Порты 25 и 110 и на LAN и на WAN открыл - не помогает. Хотел outlook настроить (думал в тандере проблема), так нет, тоже не хочет принимать

1. Где почтовый сервер? Общественный или в локальной сети?

@pix_l:

Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо).

1. Открыть порты допустим 3500-65000 TCP/UDP
2. Сделайте портфорвард на машинку с торрент клиентом.

И для всего выше написанного:
Отключите squid+havp+squidguard и настраивайте, потом включайте squid+havp+squidguard

pix_l

@dr.gopher:

@pix_l:

Ставил на машину с 3 сетевыми картами

1. два WAN или два LAN

1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
@dr.gopher:

@pix_l:

Производится проверка по IP пользователя для выхода в инет.

Каптивным порталом, сквидом, в ДХЦП по мак адресам?

• через алиасы. забил группу с IP-адресами и в правилах поставил доступ только им. Так же в proxy filter указал IP-адреса которым разрешен выход.
  @dr.gopher:

@pix_l:

Во-первых никак не могу заставить почтового клиента отправлять/принимать письма. Порты 25 и 110 и на LAN и на WAN открыл - не помогает. Хотел outlook настроить (думал в тандере проблема), так нет, тоже не хочет принимать

1. Где почтовый сервер? Общественный или в локальной сети?

• сервер не в локалке. mail.ru и т.п.
  @dr.gopher:

@pix_l:

Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо).

1. Открыть порты допустим 3500-65000 TCP/UDP
2. Сделайте портфорвард на машинку с торрент клиентом.

вот на счет портфорвардинга бы поподробнее, т.к. пока что я в нем ничего не понял.
@dr.gopher:

И для всего выше написанного:
Отключите squid+havp+squidguard и настраивайте, потом включайте squid+havp+squidguard

Я дома собрал машинку по тому же принципу что и на работе и химичу дома. Тут стоит только squid и lightsquid - но эффект тот же. На работе нужно еще клиент-банк заставить работать - поставил в проге галку для использования прокси. указал адрес и порт. Не выходит. Открыл порт (я надеюсь что открыл) 9091, который нужен для проги, но тоже тишина.

pix_l

@dr.gopher:

@pix_l:

Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо).

1. Открыть порты допустим 3500-65000 TCP/UDP
2. Сделайте портфорвард на машинку с торрент клиентом.

Торренты сидят на сайте http://bt.ivnet.ru при попытке перехода на данный сайт получаю вот это:
ОШИБКА
Запрошенный URL не может быть доставлен
Во время доставки URL:
http://bt.ivnet.ru/index.php
Произошла следующая ошибка:
    Невозможно определить IP адрес узла bt.ivnet.ru
Сервер адресов ответил:
    No DNS records
Это обозначает:
Кэш не в состоянии определить сервер, указанный в URL.
Проверьте правильность написания адреса.
Generated Tue, 31 Jul 2012 15:01:06 GMT by localhost (squid/2.7.STABLE9)

dr.gopher

@pix_l:

вот на счет портфорвардинга бы поподробнее, т.к. пока что я в нем ничего не понял.

http://thin.kiev.ua/router-os/50-pfsense/628-all-portforward-pfsense.html

pix_l

про торренты: я пока просто открыл порт 3500-65000 и вроде ошибка в логах писаться перестала. завтра попробую на работе. но как быть с почтой? там тоже с форвардингом надо химичить?

dr.gopher

@pix_l:

1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).

Имхо не стоит делать два LAN с вашим уровнем знания PF
Оставьте один LAN, настройте, а уж потом добавите второй, возможно.

pix_l

@dr.gopher:

@pix_l:

1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).

Имхо не стоит делать два LAN с вашим уровнем знания PF
Оставьте один LAN, настройте, а уж потом добавите второй, возможно.

дело в том, что я добился доступа в инет с некоторых компов как одной так и другой сетки - это мне и нужно было. поэтому сейчас не имеет смысла в отключении одной из LAN. сейчас осталась шлифовка. настройка пары-тройки прог и можно забыть о прокси вообще.
Опять же, мне нельзя объединять локалки. Они не должны друг друга видеть.

gr0mW

1. 1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
200.200.100.х. - вообще это не для внутренних сетей. (Это где-то в Бразилии наверное). Почитайте основы - какие IP зарезервированы для внутренних сетей.

2. Отключите сквид. Настройте PF сначала без прокси.
3. Ну и желательно скрины настроек посмотреть

pix_l

@gr0mW:

1. 1 WAN и 2 LAN (LANы - 2 сетки с разными адресами. 1 - 192.168.0.х 2 - 200.200.100.х. Маска подсетей у всех 255.255.255.0).
200.200.100.х. - вообще это не для внутренних сетей. (Это где-то в Бразилии наверное). Почитайте основы - какие IP зарезервированы для внутренних сетей.

Я извиняюсь, но какая разница какие IP я использую внутри сети? Локалка работает. Выход в инет есть. В чем может быть проблема?
@gr0mW:

2. Отключите сквид. Настройте PF сначала без прокси.

Опять же не совсем понятно. Если я отключу прокси, то как я тогда смогу проверить выход клиента в инет? В браузере же нужно будет указывать через какой адрес следует двигать в инет.
@gr0mW:

3. Ну и желательно скрины настроек посмотреть

Скрины - не вопрос. Настройки чего интересуют? а то я в одном форуме отправил настройки правил, а с меня спрашивают настройки интерфейсов.

gr0mW

Существует RFC1918 — Address Allocation for Private Internet http://tools.ietf.org/html/rfc1918. А адреса 200.200.100.х ДНС определяет как внешние. Для нормальной работы маршрутизаторов необходимо придерживаться установленных правил.
А через веб-интерфейс на почту выход есть?
Squid  программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Он не работает с почтовыми протоколами. Делайте или прозрачный режим или настраивайте правила на интерфейсах.
Да и насколько помню ThunderBird не работает через http proxy, а только через SOCKS

DasTieRR

Я так понял, что нат для второй сети он не включал, в инет ходит через прокси в ПФ на сквиде, шлюзы на ПК не прописывал.
Сквид не поддерживает поп и смтп (по крайней мере в стандартной конфигурации ПФ) потому и не работает.

Автору - PF умеет пускать в инет и без прокси.

gr0mW

DasTieRR:Очень вероятно. Поэтому и хотелось бы видеть скрины NAT и правил.

pix_l

@DasTieRR:

Я так понял, что нат для второй сети он не включал, в инет ходит через прокси в ПФ на сквиде, шлюзы на ПК не прописывал.

NAT я не в ключал как для второй так и для первой сети. Просто не знал нужно ли и что именно нужно вводить. Я успокоился когда сумел вторую сетку в инет выпустить. 
@DasTieRR:

Сквид не поддерживает поп и смтп (по крайней мере в стандартной конфигурации ПФ) потому и не работает.

Про это я уже понял, только от этого не легче. Почту настроить надо.
@DasTieRR:

Автору - PF умеет пускать в инет и без прокси.

Тоже не спорю, только вот что сумел накопать - так и настроил. Сейчас отключу прокси и опять на неделю все встанет.
Касательно скринов - в NAT - я вообще ничего не заводил и оутбоунд стоит на автомате. Правила прикладываю, но не пинайте за то что там увидите - я только учусь.

pix_l

@gr0mW:

А через веб-интерфейс на почту выход есть?

только через вэб и спасаюсь пока.
@gr0mW:

Squid  программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Он не работает с почтовыми протоколами. Делайте или прозрачный режим или настраивайте правила на интерфейсах.
Да и насколько помню ThunderBird не работает через http proxy, а только через SOCKS

Прозрачным делать не могу т.к. нужно из одной сетки дать инет 2 компам и из другой 2, остальные в инет ходить не должны. А на счет правил на интерфейсах - потому и пришел за помощью.

pix_l

@dr.gopher:

@pix_l:

Второй, будите смеяться, но нужно дать доступ для торрентов (обычно все их пытаются блокировать). Просто на выходных можно было бы покачать. При попытке выхода на сайт с торрентами, появляется страница с предупреждением что то про отсутствие ДНС или что то типо того. А в системном логе, если открыть прогу с торрентами, пишет что то про попытки сайта с торрентами проникнуть в сеть (так оно мне и надо).

1. Открыть порты допустим 3500-65000 TCP/UDP

Спасибо, помогло. До кучи отключил еще и "DNS Rebind Check" - теперь и сайт с торрентами открывается.

dr.gopher

@pix_l:

Прозрачным делать не могу т.к. нужно из одной сетки дать инет 2 компам и из другой 2, остальные в инет ходить не должны. А на счет правил на интерфейсах - потому и пришел за помощью.

Ихо…
1. сделайте резервную копию конфигурации Pf (надеюсь это вы умеете)
2. Вам сюда http://doc.pfsense.org/index.php/Multi-LAN_Setup
3. В свободное от юзверей время настроите мульти лан (благо вы будете иметь возможность восстановить вашу конфигурацию минут за 5-15)
4. Откройте все порты на всех интерфейсах.

А вот когда сможете в инет ходить из двух подсетей (и почто у вас будет работать), тогда уж и сквид поднимайте, потом авторизация и уж напоследок закроете все нежелательные порты. Не помешает на каждом этапе настройки делать бекапы конфигурации.

P.S. Каждый этап, вы сможете найти поиском в форуме или гугле

pix_l

Вчера попытался сделать как вы описали. сделал резервную копию. снес конфигурацию на дефолтовую. настроил адреса интерфейсов. дополнительного ПО ставить не стал. В итоге доступ к вэб-морде получил, открыл порты, но в инет без прокси так выйти и не смог. блин, мне всего то осталось выпустить в инет почту и клиент-банк. неужели такая задача неподъемная?

werter

Уберите ВСЕ правила! На LAN оставьте самым верхним ОДНО правило :

*  * * * * * none
Т.е. разрешено всё , отовсюду и для всех (временно, конечно). Рf является шлюзом по умолчанию для вашей сети,т.е. его LAN IP у вас в кач-ве шлюза на машинах прописан?
Тип подключения к Сети как организован (прямой или через туннель) ? При поднятие линка с пров-ом с самого pf пинг и traceroute идет (разделы Diagnostics: Ping и Diagnostics: Traceroute)?

Вопросов масса - прикладывайте скрины правил fw.