Вопросы новичка по pfsense



  • Буду здесь выкладывать все возникающие вопросы.

    Установлено и работает:
    pfsense 2.0.3, squid 2.7.9 pkg v.4.3.3, Lightsquid 1.8.0 pkg v.2.32

    В данный момент Lightsquid выдает отчет в которым прописан ip компа и все.

    Вопрос:
    Где прописываются фио пользователей, задается привязка к мак-адресу, ip-адресу, разбивка по группам и т.п.?



  • Вопрос:

    • Где прописываются фио пользователей
      Тема обсуждалась, ищите поиском по форуму

    • задается привязка к мак-адресу,
      Нигде, это не является функцией анализатора логов

    • ip-адресу,
      См. п.1 (соответствие IP - ФИО)

    • разбивка по группам и т.п.
      Этот функционал не реализован, если только вручную не допилите конфигурационные файлы LS





  • @Барс:

    задается привязка к мак-адресу

    http://www.thin.kiev.ua/router-os/50-pfsense/679-ip-address-mak-dhcp-pfsense-.html



  • LightSquid показывает трафик.
    Это входящий трафик? Или входящий + исходящий?
    Как раздельно посмотреть трафик входящий и исходящий?



  • @Барс:

    LightSquid показывает трафик.
    Это входящий трафик? Или входящий + исходящий?
    Как раздельно посмотреть трафик входящий и исходящий?

    Это входящий HTTP трафик.
    Прокси не покажет вам весь трафик.
    Для этого нужно использовать иные средства.



  • ipcad надо настраивать?
    Нужен полный учет трафика, входящего и исходящего. Чтобы данные совпадали со статистикой провайдера.
    100% учет всего трафика в pfsense вообще возможен? допускается отклонение 1-3%





  • Сделал все по инструкции http://rezor666.wordpress.com/2013/02/25/настройка-ipcad-на-pfsense-2-0-2/

    После перезагрузки выдает ошибки:
    Fatal error: Cannot create references to/from string offsets nor overloaded objects in etc/inc/xmlparse.inc on line 69

    rm: /tmp/config.cache: No such file or directory

    Сервак загрузился, выдается меню, можно зайти в шелл, перезагрузить и т.д.

    Сервак не пингуется, ни по локальному, ни по белому внешнему ip.

    В локалке используются ip: 192.168.0.x/255.255.255.0, в инструкции ничего не менял.

    Вопрос: Что делать в данной ситуации?



  • Не ожидал увидеть ссылки на свой блог  :)
    Барс покажите вывод команды
    ifconfig
    cat /var/log/system.log
    cat /var/log/filter.log
    ipfw -a list

    Если лень ковыряться то востановления сенса в дефолт.
    Не понятно правда что вы такого намудрили из моей доки что он так упал.



  • Ответ по команде ifconfig:

    rl0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
              options=8 <vlan_mtu>ether 00:80:48:16:41:e5
              media: Ethernet autoselect
              status: active
    rl1: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
              options=8 <vlan_mtu>ether 00:80:48:12:e8:b8
              media: Ethernet autoselect
              status: active
    plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500
    pfsync0: flags=0<>  metric 0 mtu 1460
                syncpeer: 224.0.0.240 maxupd: 128 syncok: 1
    pflog0: flags=0<>  metric 0 mtu 33200
    enc0: flags=0<>  metric 0 mtu 1536
    lo0: flags=8808 <loopback,multicast>metric 0 mtu 16384
              options=3 <rxcsum,txcsum>Ответ cat /var/log/system.log (неполный, пишу то что поместилось на экране):

    Sep 13 09:41:28 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
    Sep 13 09:41:28 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
    Sep 13 09:43:29 proxy kernel: arp: 192.168.0.12 moved from 60:a4:4c:8c:af:e9 to 48:60:bc:0f:ab:9b on rl1
    Sep 13 09:49:57 proxy kernel: arp: 192.168.0.12 moved from 48:60:bc:0f:ab:9b to 60:a4:4c:8c:af:e9
    Sep 13 09:56:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
    Sep 13 09:56:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
    Sep 13 10:05:30 proxy kernel: arp: 192.168.0.12 moved from 60:a4:4c:8c:af:e9 to 48:60:bc:0f:ab:9b on rl1
    Sep 13 10:08:47 proxy sshd[60554]: Accepted keyboard-interactive/pam for root from 109.73.40.116 port 64694 sh2
    Sep 13 10:08:47 proxy sshd[60554]: subsystem request for sftp
    Sep 13 10:11:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
    Sep 13 10:11:29 proxy dnsmasq[38511]: possible DNS-rebind attack detected: server.Domain.local
    Sep 13 10:13:04 proxy reboot: rebooted by root
    Sep 13 10:13:04 proxy syslogd: exiting on signal 15

    Ответ по cat /var/log/filter.log  (неполный, пишу то что поместилось на экране):

    Sep 13 09:29:08 proxy pf: 00:00:05.737514 rule 1/0(match): block in on rl0: (to 0x0, ttl 105, id 27857, offset 0, flags[none], proto UDP (17), length 129)
    Sep 13 09:29:08 proxy pf: 180.218.208.109.18740 > 83.69.221.91.2522: UDP, lenght 101
    Sep 13 09:29:14 proxy pf: 00:00:06.834933  rule 1/0(match): block in on rl0: (to 0x0, ttl 37, id 22458, offset 0, flags[none], proto UDP (17), length 126)
    Sep 13 09:29:14 proxy pf: 111.253.71.85.24910 > 83.69.221.91.2522: UDP, lenght 98
    Sep 13 09:29:16 proxy pf: 00:00:01.266086  rule 1/0(match): block in on rl0: (to 0x0, ttl 120, id 49115, offset 0, flags[DF], proto TCP (6), length 48)
    Sep 13 09:29:16 proxy pf: 46.119.104.207.1166 > 83.69.221.91.445: Flags (S) cksum 0x2dc5 (correct), seq 423914980, win 65535, options [mss 1460,nop,nop, sakOK], lenght 0
    Sep 13 09:29:19 proxy pf: 00:00:02.986698 rule 1/0(match): block in on rl0: (to 0x0, ttl 120, id 52116, offset 0, flags[DF], proto TCP (6), length 48)
    Sep 13 09:29:19 proxy pf: 46.119.104.207.1166 > 83.69.221.91.445: Flags (S) cksum 0x2dc5 (correct), seq 423914980, win 65535, options [mss 1460,nop,nop, sakOK], lenght 0
    Sep 13 09:29:26 proxy pf: 00:00:07.433816    rule 1/0(match): block in on rl0: (to 0x0, ttl 52, id 0, offset 0, flags[DF], proto UDP (17), length 93)
    Sep 13 09:29:26 proxy pf: 80.56.103.211.6881  > 83.69.221.91.2522: UDP, lenght 65

    Ответ по команде ipfw -a list:
    ipfw: getsockopt(IP_FW_GET): Protocol not available

    Комментарии:
    server.Domain.local - сервер локальной сети под win2003
    комп с pfsense носит имя proxy
    109.73.40.116 - комп из Интернета, для которого делался проброс портов через pfsense на терм. сервер server.Domain.local, при том что pfsense не является шлюзом по умолчанию для server.domain.local, на всех остальных компах в сети pfsense стоит шлюзом по умолчанию
    83.69.221.91 - wan ip pfsense
    пробовал загружаться в безопасном режиме - ошибка осталась</rxcsum,txcsum></loopback,multicast></pointopoint,simplex,multicast></vlan_mtu></broadcast,simplex,multicast></vlan_mtu></broadcast,simplex,multicast>



  • только вчера по данной статье поставил IPCAD на pf v2.03, все работает.
    ты наверное где то ошибся.



  • хотелось бы понять, где я ошибся :-)
    все с нуля переустановить не проблема, но надо знать где ошибка, чтобы опять ее не совершить



  • Затер pfSense 2.0.3, поставил 2.1
    При установке ipcad на 2.1 что меняется? http://rezor666.wordpress.com/2013/02/25/настройка-ipcad-на-pfsense-2-0-2/

    Путь к файлам будет другим?
    setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.2-RELEASE/packages/Latest/
    8.2 вместо 8.1?

    RSH нужен другой уже? Если да, то где его можно взять?



  • @Барс:

    Путь к файлам будет другим?
    setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.2-RELEASE/packages/Latest/
    8.2 вместо 8.1?

    Каг бы - 8.3



  • @werter:

    @Барс:

    Путь к файлам будет другим?
    setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.2-RELEASE/packages/Latest/
    8.2 вместо 8.1?

    Каг бы - 8.3

    чет хитромудро  :)
    ставил 8.1 на pf203
    строка для установки
    pkg_add -r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/compat6x-i386.tbz
    и
    pkg_add -r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/ipcad.tbz
    pkg_add -r ipcad.tbz



  • Еще проще
    setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
    pkg_add -r compat6x-i386
    pkg_add -r ipcad



  • setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
    pkg_add -r compat6x-i386
    pkg_add -r ipcad

    нет, так не пошло, поэтому и указал как делал.



  • Какая возникает ошибка и на какой версии сенса?
    Проверил, все работает так же как и в 2.1!
    Подробнее будет в новой статье о новой версии.



  • pfsense 2.03
    после
    setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
    на команду
    pkg_add -r compat6x-i386 или pkg_add -r ipcad
    пишет что нет файла.
    если выполнить
    pkg_add -r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
    то все есть и ставится нормально.



  • Стоит и работает:
    pfsense 2.1,  Lightsquid 1.8.0 pkg v.2.32,  squid 2.7.9 pkg v.4.3.3,    ipcad

    Как посмотреть входящий и исходящий трафик по пользователям?
    Что для этого нужно сделать/настроить?





  • хотелось бы иметь отдельную колонку для входящего трафика и отдельную для исходящего трафика.
    в предложенном варианте весь трафик суммируется в одной колонке.



  • Перепишите squid, lightsquid и ipcad.
    Потом выложите исходники сюда а мы посмотрим.  :)



  • @Барс:

    хотелось бы иметь отдельную колонку для входящего трафика и отдельную для исходящего трафика.
    в предложенном варианте весь трафик суммируется в одной колонке.

    SARG - http://jimiz.net/2012/11/pfsense-sarg-squid-reports/ ? Но он тоже считает только входящий , вроде. Попробуйте ipcad.



  • werter, это бессмысленно.
    IPCAD не кладет логи в формате INPUT или OUTPUT а соответственно нету не какой фильтрации по вх/исх трафику.
    Что бы был вх/исх то надо переписывать ipcad и что бы он сохранял в логах пакеты с добавлением строки INPUT/OUTPUT и переписывать lightsquid что бы он мог фильтровать трафик с учетом строк  INPUT/OUTPUT.



  • 2 Rezor666

    Спасибо, понял.



  • Если я верно понял то нужно что-то типа или сам ntop который будет писать лог, складывать его в отдельный файл и какой то пакет будет его считывать и выводить.
    Или переписывать lightsquid что бы он смог правильно отображать лог ntop.
    Хотя судя по различным докам сам ntop имеет графический web интерфейс, в общем надо тестить :)

    Похоже я был прав.
    Осталось только проверить можно ли изменить так конфиг на pfSense

    Завтра попробую прикрутить на pfSense такую софтину



  • 1. Есть результаты?

    @Rezor666:

    Завтра попробую прикрутить на pfSense такую софтину

    2. стоит ipcad + squid3 + lightsquid
    данные из ipcad попадают в lightsquid в виде ip-aдресов.
    Как ip-адреса преобразовать в доменные имена?



  • @Барс:

    2. стоит ipcad + squid3 + lightsquid
    данные из ipcad попадают в lightsquid в виде ip-aдресов.
    Как ip-адреса преобразовать в доменные имена?

    http://www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-lightsquid.html

    Скрипт резолвит большую часть ссылок. Но некоторые не читабельны.

    Ищем стоку:
    Для преобразования IP адресов в доменные имена, используем изменим файл tolog.sh

    Скрипт написал forestman99 и выложил на форуме



  • Барс
    Пока нету времени тестить.
    Учитывая что ntop стоит в pfsense по default то попробуйте поковыряться в конфиге или выложите его мне в личку т.к сейчас не имею возможности запустить pfsense.



  • 1. Как получить список страниц, посещенных пользователем? Нужно что-то похожее на хистори браузера.
    А то в статистике куча ссылок на те сайты, куда пользователь даже не заходил.

    2. Как блокировать Интернет-рекламу?



  • @Барс:

    1. Как получить список страниц, посещенных пользователем? Нужно что-то похожее на хистори браузера.
    А то в статистике куча ссылок на те сайты, куда пользователь даже не заходил.

    2. Как блокировать Интернет-рекламу?

    А не много погуглить?
    1- С статистикой все верно. Может пользователь и не посещал самого сайта но видел от него рекламу.
    LIghtsquid не умеет врать, он не человек :)

    2- Обсуждалось тысячу раз.
    Или пишите фильтры или пользуйтесь готовыми списками.



  • Уважаемые,за неимением большого опыта возник вопрос следующего характера. Допустим выходит из строя сетевая карта которая lan носящая ип к примеру 192.168.0.10. Через которую осуществляется доступ к интерфейсу pfSense. Не могу допетрить каким образом заменить сетевую карту что бы работало как и прежде? Единственным вариантом который приходит на ум это установить сетевую карту и переназначить интерфейсы путем выбрав пункт 1 – Assign Interfaces. Или есть другие способы? Спасибо тем кто просветит:)



  • Вопрос по поводу файерволла!
    Скажите пожалуйста, прокси PfSense, мне надо, что бы в инет выходил только один комп из всей локальной сети, для этого в файерволле надо создать правило (-а), в котором (-ых) я указываю:
    Interface - LAN
    Protocol - TCP/UDP
    Source - мой комп алиасом
    Destination - ? вот тут ГЛАВНЫЙ вопрос, что здесь указывать? LAN subnet, WAN subnet?!
    Ну и естественно, не хочется чтобы в инет лезло всё подряд, надо указать:
    Destination port range - ?
    То есть, как я понимаю, надо указывать порты:
    HTTP, HTTPs - для браузеров?
    TCP/UDP 53 - для DNS (хотя это необязательно, я сделал пересылку через сервер)
    Порты для того же аутглюка
    Отдельно порт для обновления антивиря
    Ну может ещё порт для синхронизации времени…

    Что писать в Dest?! :)))



  • @Volk170288:

    Что писать в Dest?! :)))

    выбрать any



  • @smils:

    @Volk170288:

    Что писать в Dest?! :)))

    выбрать any

    У меня в данный момент так и выбрано, это верное решение?!
    И ещё, я правильно понимаю, по поводу портов?



  • Как зарезервировать в DHCP два статических ip-адреса для одного компа?
    На компе две сетевухи - обычная и wi-fi.
    При добавлении второго статического ip выдается ошибка:
    The following input errors were detected: This Hostname, IP or MAC address already exists.
    Я же не могу прописать два разных hostname для одного компа? Или могу?
    Если у одного компа будет два разных hostname одновременно, это ведь черти что получится.



  • @Барс:

    Если у одного компа будет два разных hostname одновременно, это ведь черти что получится.

    Иначе никак.
    Я писал:
    SimaPupkin
    SimaPupkin-wifi
    :-)



  • Помогите, пожалуйста, с файерволом!
    Правило, для которого я веду лог, разрешает выход в инет с моего компа по всем протоколам и во все направления, инет работает! (Основное правило)
    Но мне этого не надо, я хочу настроить выходную фильтрацию! :)
    Выше создал правила для HTTP, HTTPs, SMTP, POP3 и на всякий случай для DNS, хотя это, по идее, не обязательно, так как я днс с сервера запрашиваю!
    Если отключаю основное правило, то инет пропадает! Работать продолжает только qip! (видимо ему 443 порт нужен)
    Если смотреть через Status/System logs/firewall, то там показано, что отбрасывается запрос с моего IP по произвольному порту, на адрес прокси по порту 3128 proto TCP:S
    Если я создаю правило разрешающее выход с моего компа на прокси (Source: Admin Dest: Proxy), то инет опять появляется, но это, как я понимаю, в результате работы NAT?
    В чём косяк или где мне смотреть логи, в которых будут указаны запрашиваемые порты и протоколы, а не порты прокси? :)