2 adet PfSense Görev Paylaşımı



  • Arkadaşlar;
    Bir sistemde 1. pfsense cihazının tüm kural ve yönlendirmeleri yönetmesi gerekiyor. Diğer pfsense kurulu makine ile sadece squid loglarını tutmamız gerekmekte.
    İlk olarak log tutacak pfsense'in tüm kural ve kısıtlamaları kaldırıp wan gateway olarak kuralları yönetecek olan pfsensin lan bacağını gösterdim. İnternete girecek olan makinelerin gateway log tutacak olana bakıyor. Squid loglarına baktığımda ilk makine logları alıyor sıkıntı yok ama diğer makineye geçtiğinde sadece tek bir ip olarak geçiyor oda log tutan makinenin wan ip'si. Bu yüzden hiç bir kuralı işletemiyor.
    Benim izlediğim yolda bir çözüm bulabilir miyiz? Farklı bir şekilde çözümü olan var mıdır?



  • 1 -  neden tek makine ile yapmıyorsunuz?
    2 - iki makineyi aynı lan a alıp birini gateway yapıp diğerini de proxy yapıp client makinelerin web trafiğini Squid üzerinden geçirebilirsiniz



  • @tuzsuzdeli:

    1 -  neden tek makine ile yapmıyorsunuz?
    2 - iki makineyi aynı lan a alıp birini gateway yapıp diğerini de proxy yapıp client makinelerin web trafiğini Squid üzerinden geçirebilirsiniz

    1- Bu düşünce aslında şuan için pek gerekli değil. İleride fortigate cihazlarından bir tane alınması düşünülüyor. Aynı mantığı fortigate'e uygulayabilirim düşüncesiyle hem şuan için çalışan pfsense makinenin işlem yükünü azaltmak için hemde ileride 5651 için farklı bir çözüm ihtiyacı aramamak için bu şekilde bir çözüm düşündük.
    2- Sanırım sizin dediğinizi yapmaya çalıştım. İlk postumda belirttiğim gibi bir yol izledim. Sizin Squid üzerinden geçirebilirsiniz dediğiniz evet oluyor ancak kuralların çalıştığı ana pfsense makinede tüm makineler tek bir makine olarak (Squid yüklü makinenin wan bacağı olarak) görünüyor. Ana pfsense üzerinde tanımlanmış hiç bir kuralı uygulayamıyorum. Eğer squid yüklü makineden istekte bulunan istemcilerin herbirini unique olarak diğerine aktarabilirsem problemim kalmıyor.



  • ben iki makineyi aynı lan içine alın demiştim.
    sizin dediğiniz gibi arda arda bağlamayacaksınız.



  • Aynı lan içerisinde zaten. Art arda bağlamadım. Sadece gateway olarak 1. pfsense'in ipsini gösterdim. Sizin proxy olarak üzerinden geçirebilirsiniz dediğiniz yöntemi biraz daha açıklayabilirseniz sorun sanırım çözülecek.



  • örnek

    firewall 10.10.1.254
    proxy 10.10.1.253

    clientlara gateway olarak 10.10.1.254 vereceksiniz.
    clientlara proxy olarak 10.10.1.253 vereceksiniz (active directory varsa otomatik ayarlayabilirsiniz yok ise manuel)

    10.10.1.254 üzerinden web'e sadece proxy makinesinin çıkmasına müsade edeceksiniz ki clientlar direk çıkamasın.

    web trafiği dışındaki tüm trafiği firewall makinesi üzerindeki kurallarla düzenleyeceksiniz (dns, smtp,rdp vsvs)
    web ile ilgili tüm loglama ve sınırlama işlemlerini de proxy üzerinde halledeceksiniz.



  • Çok teşekkür ederim. Sorun halloldu.



  • Arkadaşlar;
    Bu şekilde bir yol izlediğimde firewall üzerinde ve log tutan cihazda istemciler kendi ipleriyle görünüyor firewall kurallarınıda işletebiliyorum ancak squid ile alakalı herhangi bir kısıtlama yapamıyorum. Şimdiki sorunum squid kurallarının kontrolü. Bu konuda nasıl bir yol izlemeliyiz??



  • Selam,

    Bunun için squidGuard paketini kurabilirsiniz.

    Sevgilerle,
    SGTR



  • Squidguard yüklü. Squid loglarına kullanıcı istekleri düşüyor ancak sanırım sadece proxy olarak gösterdiğimiz için filtreleme kurallarının hiçbirisi etkin olamıyor. Asıl firewalldaki squid ve squidguard aktif edilince 1. makinenin kuralları aktif oluyor. Bu şekilde de 1. makinede yine en baştaki problemim gibi tüm makineler tek bir ip olarak gözüküyor ve yine kişiye özgü kural tanımlayamıyorum..



  • Arkadaşlar;
    Yukarıdaki izlediğimiz yolda sanırım çözüm bulamayacağız. Bende log tutacak makineyi bridge modda çalıştırıp transparan firewall olarak kullanmayı düşündüm. Diğer cihazlarda ayar değiştirmeden log tutacak makineyi  Modem–>Firewall-->LogFW-->Lan  şeklinde lan ile firewall arasına yerleştirdim. Landaki tüm cihazların gw yine firewalla bakıyor. Bu şekilde tüm paketler logfw üzerinden geçiyor. Firewall kurallarını test ettiğimde hem logfw nin hemde mevcut fwnin kuralları çalışabiliyor. Ancak logfw üzerinde squid ve squidquard gibi paketler üzerinden geçen web isteklerini göstermiyor bu yüzden log alamıyorum. Bridge modda squid loglarını tutabilir miyiz?


Locked