Знакомство с pfSense
-
Добрый день.
Присматриваюсь к pfSense и хочу уточнить несколько моментов: правильно ли я понимаю положение дел?[сейчас]
Маленькая сеть: 15 компов + 10 "мобильных клиентов" (ноуты и телефоны сотрудников).
Шлюз: dir-320 с прошивкой "от энтузиастов".[зачем мне pfSense]
1. Мониторинг использования WAN "по клиентам".
Мне не очень нужен подсчет трафика, но ответ на вопрос "кто забил весь канал в данный момент" хочется знать.
Сейчас это реализовано следующим образом: в firewall сделана отдельная табличка, через которую проходит весь траффик клиентов. Web-приложение с заданной частотой снимает данные (число переданных байт) по каждому из правил таблицы => считает текущую загрузку.
Подскажите ключевые слова для реализации этого в pfSense.2. Ограничение канала. Динамическое разделение WAN "по клиентам" и "по протоколам".
3. Возможно появится дополнительный WAN => надеюсь на более простую настройку.
4. Возможно появятся VLAN-ы => надеюсь на более простую настройку.[настройки в pfSense]
Основное свойство, которое меня озадачивает (и одновременно радует) - веб-интерфейс.
Как я могу настраивать (например) dhcp-сервер?
Мне видятся три способа и все они "не айс":
1. Через веб. Это несколько неудобно (из разряда холиваров "консоль vs. gui").
2. Правкой xml-файла конфигурации. Это нормальный способ (т.е. у него есть побочные эффекты)?
Хотя он тоже не очень нравится, т.к. нужно "учить" еще один синтаксис.
3. Сохранять dhcp.conf в отдельном месте и затирать им сгенерированный при старте из config.xml, после чего перезапускать dhcp-сервер. В этом случае видимо будет очень много "побочных эффектов" - несогласованность с другими компонентами (серверами). -
[зачем мне pfSense]
1. Мониторинг использования WAN "по клиентам".
Мне не очень нужен подсчет трафика, но ответ на вопрос "кто забил весь канал в данный момент" хочется знать.
Подскажите ключевые слова для реализации этого в pfSense.Посмотреть текущую активность можно как встроенными средствами, так и с помощью дополнительных пакетов. Выбрать есть из чего.
2. Ограничение канала. Динамическое разделение WAN "по клиентам" и "по протоколам".
3. Возможно появится дополнительный WAN => надеюсь на более простую настройку.
4. Возможно появятся VLAN-ы => надеюсь на более простую настройку.2. Да, Traffic Shaper ALTQ/Dummynet
3. В 2.0 основные улучшения связаны в том числе и с Multiinterface .[настройки в pfSense]
Основное свойство, которое меня озадачивает (и одновременно радует) - веб-интерфейс.
Как я могу настраивать (например) dhcp-сервер?
Мне видятся три способа и все они "не айс":
1. Через веб. Это несколько неудобно (из разряда холиваров "консоль vs. gui").
2. Правкой xml-файла конфигурации. Это нормальный способ (т.е. у него есть побочные эффекты)?
Хотя он тоже не очень нравится, т.к. нужно "учить" еще один синтаксис.
3. Сохранять dhcp.conf в отдельном месте и затирать им сгенерированный при старте из config.xml, после чего перезапускать dhcp-сервер. В этом случае видимо будет очень много "побочных эффектов" - несогласованность с другими компонентами (серверами).Тут сложно понять что имеете ввиду. Если Вам недостаточно функционала в веб-интерфейсе, можно пойти на изменение php скриптов управления DHCP. Это все-же лучше, чем ловить скриптами моменты загрузки/изменения конфига сервиса.
-
Тут сложно понять что имеете ввиду.
Спасибо за Ваш ответ!
Тут (и в других местах) действительно получилось несколько путано. Мыслей много и они еще не обрели четкую структуру ;)
Я хотел сказать, что при появлении нового устройства (мобильник) мне удобнее вызвать скрипт с mac и ip-адресом устройства, который пропишет все его настройки в dhcp (+ dns, firewall), чем "ползать" по веб-интерфейсу и "кликать кнопки". Еще раз повторю, что я прекрасно понимаю, что вопрос этот из области "консоль vs gui", но мне так удобнее.Если Вам недостаточно функционала в веб-интерфейсе, можно пойти на изменение php скриптов управления DHCP.
Добавлять свои ошибки, изучать синтаксис xml-конфига и в итоге все это потерять после обновления?
Это все-же лучше, чем ловить скриптами моменты загрузки/изменения конфига сервиса.
А эти моменты бывают часто? Я надеялся, что только при загрузке системы. (изменения - это отдельный разговор, можно взять за правило не делать их через веб).
На самом деле, я пытаюсь понять: возможно ли управлять pfSense в *nix-стиле, т.е. с помощью текстовых конфигов. Похоже, что нет (
-
А эти моменты бывают часто? Я надеялся, что только при загрузке системы. (изменения - это отдельный разговор, можно взять за правило не делать их через веб).
На самом деле, я пытаюсь понять: возможно ли управлять pfSense в *nix-стиле, т.е. с помощью текстовых конфигов. Похоже, что нет (
Возможно, если знать, где и как обойти работу GUI. Но это зависит от каждого конкретного случая. Можно даже поставить свое сервис, о котором GUI не знает, и управлять им своими скриптами.
-
Появилось еще несколько вопросов, но настолько нубских и разноплановых, что не счел нужным создавать отдельную тему.
(речь идет о версии 2.0.2).1. Т.к. стандартное правило firewall на wan-интерфейсе - все запрещено, то оно должно отображаться в списке правил.
Иными словами: на приложенном скриншоте его нет, и значит оно не действует. Так?
(теоретически возможен еще один вариант: т.к. оно стандартное, то не отображается в веб-интерфейсе. поэтому и уточняю).2. Не используя прокси, возможно ли:
2а. Ограничить доступ в интернет по mac-адресу, а не по ip? Нужно для мобильных клиентов (вариант с привязкой mac к ip на dhcp не очень удачный, т.к. "прожорливый")
2б. Хочется иметь статистику траффика "по клиентам" (или хотя бы суммарную). Не подскажите "ключевые слова" для поиска?СПАСИБО!
-
1. Т.к. стандартное правило firewall на wan-интерфейсе - все запрещено, то оно должно отображаться в списке правил.
Иными словами: на приложенном скриншоте его нет, и значит оно не действует. Так?
(теоретически возможен еще один вариант: т.к. оно стандартное, то не отображается в веб-интерфейсе. поэтому и уточняю).
Правило по умолчанию скрытое. Конечно это не совсем наглядно, но есть как есть.2. Не используя прокси, возможно ли:
2а. Ограничить доступ в интернет по mac-адресу, а не по ip? Нужно для мобильных клиентов (вариант с привязкой mac к ip на dhcp не очень удачный, т.к. >"прожорливый")
Captive Portal, особенно рекомендовано для мобильных.2б. Хочется иметь статистику траффика "по клиентам" (или хотя бы суммарную). Не подскажите "ключевые слова" для поиска?
Посмотрите в пакетах pfSense, было несколько вариантов (NTOP в т.ч.). -
Captive Portal, особенно рекомендовано для мобильных.
Спасибо, посмотрю более внимательно, но мне кажется, что это совсем не то, что мне надо.
-
Я бы если честно не стал отдавать роль DHCP unixоподобным. Как минимум управление в сравнении с DHCP на win2k8 - не очень читабильно и удобно. 15-30 клиентов - уже спокойно можно поднять связку КД с DHCP и DNS. а нагружать и без того несчастный пфсенс, ненужным барахлом - я бы не стал.
"Ограничить доступ в интернет по mac-адресу, а не по ip?" это как вы хотите реализовать? в любом случае ограничение будет действовать на ip, дело в другом - кто преобразует mac в айпи. Неужели вы не сталкивались с ситуацией с подменой мака в локалке? ты видешь мак, и начинаешь долго бегать по конторе, параллельно посылая запросы на бродкаст и так далее… сопоставление мак\ip не такая уж и тривиальная задача - только в ДХЦП.
-
Добрый день.
Прошу помощи
киньте ссылку на образ диска с полным комплектом приложений желательно в формате ISO
Спасибо -
Добрый день.
Прошу помощи
киньте ссылку на образ диска с полным комплектом приложений желательно в формате ISO
СпасибоПереход на загрузку установочного образа на портале. Пакеты ставятся на pfSense, установленный на HDD (nanoBSD) из раздела меню Packages.