Вопросы новичка по pfsense
-
Доброе
1. Отобрать права Администратора у всех пол-лей.2. http://bfy.tw/9i0n
Цитата с сайта этого же ПО . Первая ссылка в гугле :
If you would like to prevent your employees from installing LogMeIn on their work computer, you should block secure.logmein.com on your firewall(s).
-
Squid RealTime stat 1.20 for the proxy server (unknown) (127.0.0.1:3128).
Auto refresh:
3
sec. Update Stop Created at: 10:21:42 29/01/2017
SqStat error
Error (1): Cannot get data. Server answered: HTTP/1.1 301 Moved PermanentlyThis file is automatically generated by pfSense
Do not edit manually !
http_port 192.168.23.22:3128
http_port 127.0.0.1:3128
icp_port 0
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language ru
icon_directory /usr/local/etc/squid/icons
visible_hostname proxy
cache_mgr it@ies-prikame.ru
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pingerlogfile_rotate 0
debug_options rotate=0
shutdown_lifetime 3 secondsAllow local network(s) on interface(s)
acl localnet src 192.168.23.0/24 127.0.0.0/8
forwarded_for on
uri_whitespace stripacl dynamic urlpath_regex cgi-bin ?
cache deny dynamiccache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_dir ufs /var/squid/cache 1000 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
cache allow allAdd any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320#Remote proxies
Setup some default acls
ACLs all, manager, localhost, and to_localhost are predefined.
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1983 3128 3129 1025-65535
acl sslports port 443 563 1983acl purge method PURGE
acl connect method CONNECTDefine protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
http_access allow manager localhosthttp_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslportsAlways allow localhost connections
http_access allow localhost
request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrcReverse Proxy settings
Package Integration
url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
url_rewrite_bypass off
url_rewrite_children 16 startup=8 idle=4 concurrency=0Custom options before auth
acl noauth src 192.168.21.0/24 192.168.26.0/24 192.168.18.0/24 192.168.22.0/24 192.168.28.0/24 192.168.25.0/24 192.168.26.0/24 192.168.27.0/24 192.168.29.0/24 192.168.24.0/24
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/local/libexec/squid/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Ваш логин от window.
auth_param basic credentialsttl 5 minutes
acl password proxy_auth REQUIREDCustom options after auth
http_access allow noauth
http_access allow password localnetDefault block all to be sure
http_access deny allsrc
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
adaptation_access service_avi_resp allow all -
как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.
Настроено Squid Authentication NTLM и домен 2012R2
-
@oleg1969:
как организовать в LightSquid , что бы показывалось ФИО, а то там сейчас знаки вопросов.
Открыть в WINSCP usr/local/etc/lightsquid и отредактировать
1 - realname.cfg примерно так
192.168.1.2 Иванов И.И
192.168.1.6 Asus-10
192.168.1.11 Galaxy-A5
192.168.1.12 Simensпри желании и group.cfg примерно так
192.168.1.2 Lan
192.168.1.6 Lan
192.168.1.11 Lan
192.168.1.12 LanСправа от адреса пишем что Вам нужно (фамилия итд )
Ну и сделать refresh lightsquid
у меня ip адреса раздаются по DHCP раз в 3 месяца..
как быть в этом случае?
-
@oleg1969:
А если клиентов добавить в DHCP Static Mappings for this Interface и присвоить им конкретные адреса
Такой вариант работать будет, если
DHCP сервер физически на другой машине, а не на этом же сервере pfsense.
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.
-
Доброго времени суток.
Изучаю возможность использования Pfsense в качестве пограничного firewall (возможно еще IPS). В связи с чем возникло несколько вопросов…Схема сети:
Internet <===> Firewall (Pfsense etc.) <===> NAT/NAS-ы на базе Mikrotik CCR.Вопрос №1.
Есть ли возможность ограничивать PPS по заданным критериям? Именно количество пакетов в единицу времени для хоста, суммарно или отдельно по протоколам, а не сессий и т.п.. Либо реализовать детектирование атаки по граничному количеству пакетов/сек и далее полностью блокировать любой трафик с хоста на определенное время. Актуально для фильтрации DoS-атак типа ICMP/UDP-flood и подобных.Вопрос №2.
Канал на инет 4Gbps, под firewall/IPS планируется железка: 2x Xeon E5649 (2.53GHz, суммарно 12 физ./24 логических ядра) 48GB RAM. Потянет ли, при минимальном наборе правил Pfsense + Snort или Pfsense + Suricata ? С учетом вопроса №1.Небольшое пояснение. Основная задача firewall будет состоять как раз в отражении DoS и небольших DDoS атак, с целью не пропускать паразитный трафик на NAS-ы. Поскольку оборудование Mikrotik очень критично к атакам большим количеством мелких пакетов.
Заранее благодарю за конструктивные ответы и советы.
-
Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение", т.к. оч редко блокировала то, что не надо было.P.s. А в чем проблема icmp на WAN вообще закрыть ?
-
Доброе
Устанавливайте pf, пакет Suricata и пробуйте. Только так узнаете.
Suricata трудится 2-ой год и проблем с ней на 99,9% не было. Понадобилось лишь небольшое "обучение", т.к. оч редко блокировала то, что не надо было.P.s. А в чем проблема icmp на WAN вообще закрыть ?
ICMP в принципе закрыть можно, хоть и очень нежелательно. А вот UDP закрыть уже никак не получится, в сети имеются пара сотен клиентов, арендующих статические белые IP для своих нужд. Видеонаблюдение, игровые сервера и прочие их сервисы активно используют входящие подключения UDP.
Использовать для фильтрации адрес-листы Snort или Suricata это не совсем корректное решение, поскольку использование готовых листов неизбежно приведет к блокировке части легитимных подключений, а создавать кастомные листы это задача слишком долгая и трудоемкая.
Pfsense пока что работает в условиях стенда и к сожалению похоже, что возможности обнаружения и блокировки UDP-атак у нее весьма ограничены. По моему впечатлению, Pfsense "заточена" как корпоративный файрвол, для задач провайдера она мало подходит.З.Ы. У меня уже есть практический опыт борьбы с ddos. Программная часть RouterOS в этом плане вполне устраивает своей гибкостью, возможностью полной автоматизации обнаружения и блокировки практически любых атак. Но вот аппаратная часть не выдерживает серьезных нагрузок, а установить RouterOS на достаточно мощный кастомный сервер не получится.
-
@oleg1969:
Для общего развития и понимания советую почитать эту ссылку ;)
http://salf-net.ru/?p=494
Спасибо за ссылку.
-
2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata) -
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети. -
2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал. -
Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.
не подскажете как это реализовать, может инструкция есть?
заранее спасибо. -
По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры
-
Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.
-
Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.
Убрать разрешающее правило в Firewall'e