Вопросы новичка по pfsense
-
Приветствую.
В школе вместо ограниченного 15-ю сессиями usergate поставил отдельную железку с pfsense (набрел на него в поисках альтернативы usergate).
Схема получилась такая:
192.168.17.1 - pfsense
192.168.17.2 - контроллер домена (AD, WS2008r2)В настройках DNS для рабочих станций в pfsense указан первым 192.168.17.2
Вторым 192.168.17.1
С этими настройками сетевые папки работают и авторизация пользователей в AD проходит на ура.Теперь необходимо компьютерный класс (с ученическими машинами) пропустить через Яндекс.ДНС.
Подскажите, возможно ли это сделать (и как, если да) средствами pfsense?
Благодарю за помощь.
-
Теперь необходимо компьютерный класс (с ученическими машинами) пропустить через Яндекс.ДНС.
А зачем выделять - просто выпускайте всех. У меня так клиенты сидят по умолчанию, хоть бы кто пожаловался, что некоторые сайты не открываються.
Как вариант squid умеет задавать отдельный DNS для работы. -
2 gulin
1. Вы молодец, что начали исп. открытое ПО.
2. Можно принудительно заставить пол-лей исп. те адреса DNS, к-ые вам необходимы. В настройках пф вы выставляете исп. Я. ДНС.
Вкл. DHCP на пф. Пол-ли будут автоматом по DHCP получать в кач-ве ДНС (и шлюза) лок. адрес. пф.
Далее, для принуд. исп. адреса ДНС нужно создать правило портфорв. на LAN, где в src будет LAN net -
Ребят подскажите что делать? Установил пиСенсе последнею версию. Интернет ходит только через https, http - не прогружает страницы. Что делать? Вроде как слышал что надо непрозрачный режим выставить, но как его настроить по шагам если можно детально.
-
2 dak20
Доброе.
Мало инф-ции.Скрины правил fw, какие пакеты установлены etc.
-
С оф. сайта скачал дистрибутив последний, с флешки установил.В компе две сетевых. Одна на модем другая в сетку. Все раздается. Интернет ходит но Http нет, Https без проблем. Никаких правил, ничего ни делал, инфы нигде нет. Где куда смотреть даже не знаю. Как сделать что бы по http все работало. Потом буду ставить сквид для блокировки сайтов.
2 dak20
Доброе.
Мало инф-ции.Скрины правил fw, какие пакеты установлены etc.
-
открой закладку Firewall: Rules
там увидишь Floating WAN LAN
на ван лан добавь правила разрешающие все всем примерно так будет выглядеть
IPv4 TCP * * * * * none
должно забегать и ipconfig /all с любого компа выложи, а также схему твоей сетки.
(доп. пакеты типа squid squidguard надеюсь пока не ставил? -
Это правило должно быть на LAN, pfSense создает его обычно сам как
IPv4 * LAN net * * * * none Default allow LAN to any rule
и перед ним для начала не должно быть запрещающих правил. -
Привет всем !
pfSense является шлюзом по умолчанию
подскажите как запретить пользоваться программой удаленного соединения LogMeIn Hamachi в локальной сети уже замучился ломится на 443 порт и спокойно работает.
443 порт запрещать нельзя . -
вот такая ошибка всплывает, когда по началу открывается браузер и сайты на https
помогите победить.. :)
-
Доброе
1. Отобрать права Администратора у всех пол-лей.2. http://bfy.tw/9i0n
Цитата с сайта этого же ПО . Первая ссылка в гугле :
If you would like to prevent your employees from installing LogMeIn on their work computer, you should block secure.logmein.com on your firewall(s).
-
Squid RealTime stat 1.20 for the proxy server (unknown) (127.0.0.1:3128).
Auto refresh:
3
sec. Update Stop Created at: 10:21:42 29/01/2017
SqStat error
Error (1): Cannot get data. Server answered: HTTP/1.1 301 Moved PermanentlyThis file is automatically generated by pfSense
Do not edit manually !
http_port 192.168.23.22:3128
http_port 127.0.0.1:3128
icp_port 0
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language ru
icon_directory /usr/local/etc/squid/icons
visible_hostname proxy
cache_mgr it@ies-prikame.ru
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pingerlogfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 192.168.23.0/24 127.0.0.0/8
forwarded_for on
uri_whitespace stripacl dynamic urlpath_regex cgi-bin ?
cache deny dynamiccache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 1000 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow allAdd any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320#Remote proxies
Setup some default acls
ACLs all, manager, localhost, and to_localhost are predefined.
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1983 3128 3129 1025-65535
acl sslports port 443 563 1983acl purge method PURGE
acl connect method CONNECTDefine protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrcReverse Proxy settings
Package Integration
url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0Custom options before auth
acl noauth src 192.168.21.0/24 192.168.26.0/24 192.168.18.0/24 192.168.22.0/24 192.168.28.0/24 192.168.25.0/24 192.168.26.0/24 192.168.27.0/24 192.168.29.0/24 192.168.24.0/24
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Ваш логин от window.
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIREDCustom options after auth
http_access allow noauth
http_access allow password localnetDefault block all to be sure
http_access deny allsrc
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
adaptation_access service_avi_resp allow all -
как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.
Настроено Squid Authentication NTLM и домен 2012R2
-
@oleg1969:
как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.
Открыть в WINSCP usr/local/etc/lightsquid и отредактировать
1 - realname.cfg примерно так
192.168.1.2 Иванов И.И
192.168.1.6 Asus-10
192.168.1.11 Galaxy-A5
192.168.1.12 Simensпри желании и group.cfg примерно так
192.168.1.2 Lan
192.168.1.6 Lan
192.168.1.11 Lan
192.168.1.12 LanСправа от адреса пишем что Вам нужно (фамилия итд )
Ну и сделать refresh lightsquid
у меня ip адреса раздаются по DHCP раз в 3 месяца..
как быть в этом случае?
-
@oleg1969:
А если клиентов добавить в DHCP Static Mappings for this Interface и присвоить им конкретные адреса
Такой вариант работать будет, если
DHCP сервер физически на другой машине, а не на этом же сервере pfsense.
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.
-
Доброго времени суток.
Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…Схема сети:
Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.Вопрос №1.
Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.Вопрос №2.
Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.
Заранее благодарю за конструктивные ответы и советы.
-
Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение", т.к. оч редко блокировала то, что не надо было.P.s. А в чем проблема icmp на WAN вообще закрыть ?
-
Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение", т.к. оч редко блокировала то, что не надо было.P.s. А в чем проблема icmp на WAN вообще закрыть ?
ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.