Вопросы новичка по pfsense
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети. -
2 Algon
https://www.youtube.com/watch?v=Mj4T8eYin3k
Неплохое видео по pfsense + snort (можно заменить suricata)Спасибо, но это не совсем то ))
На стенде протестировали несколько вариантов атак, с атаками по TCP справляется хорошо, а вот с UDP проблема. Паразитный трафик при распределенной атаке по т.н. "мягкому" варианту (большое количество атакующих хостов с относительно небольшим количеством пакетов с каждого хоста) Pfsense+Snort не заблокировал. -
Suricata пробуйте. И внимательно с выбором категорий в настр. Suricata.
-
такой вопрос!
при блокировке контента пользователя отправляет на такую страницу ( прикрепил картинку)
как сделать, что бы на прямую отправлял?
Внести сертификат этого узла в список надежных на компьтерах пользователей или использовать валидные сертификаты.
не подскажете как это реализовать, может инструкция есть?
заранее спасибо. -
По поводу валидных посмотрите let's encrypt или starssl. Если же вы хотите чтобы самоподписанные сертификаты не вызывали таких сообщений, вам необходимо выгрузить корневой сертификат pfsens'a и установить их например политикой на все компьютеры
-
Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.
-
Подскажите пожалуйста, как сделать что бы pfsense пускал серфить инет только через squidguard? Проблема в том что если пользователи убирают в настройках браузера прокси, оставляя только прокси в tcp/ip - pfsense по прежнему пускает их в сеть с отсутствием ограничения на просматриваемый контент.
Убрать разрешающее правило в Firewall'e
-
а подробнее? закрыть на lan-интерфейсе 80 порт, оставив порт прокси 3128?
-
а подробнее? закрыть на lan-интерфейсе 80 порт, оставив порт прокси 3128?
Как-то так, только интернет не только 80 порт.
-
Подскажите, где подсмотреть?
pfSense из коробки, https://yadi.sk/d/b6udU9Rd3DiVQV
Ч-з неопределенные промежутки времени (около часа) отпадает LAN. если "перевтыкнуть" разъем LAN, сразу же появляется, так же появляется и сам через 2-3 мин. От нагрузки не зависит. сетевые карты менял. -
А что в логах пишет?
-
PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
При подключении к удаленному внешнему серверу происходит мгновенная авторизация, но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты, ситуация везде одинакова. При использовании другого прокси-сервера, но того-же софта - проблема исчезает. Т.е. дело в pfsense. Подскажите в какую сторону копать? (в файрволе, clam-e и сквиде ip-адрес фтп-ника разрешен) -
2 artsi
Доброе.
В каком режиме работает удаленный ftp ?
Вкл. логирование fw пф и смотрите на происходящее там. -
Пакет FTP_Client_Proxy не пробовали?
-
А что в логах пишет?
в System logs появляются только в DHCP : https://yadi.sk/d/Us3R-lbH3DnSUQ
Shell Output - ifconfig: https://yadi.sk/d/Zy_UWtbA3DnVk5Установил 2.1.5-RELEASE, работает шустрее, да и проблема вроде как ушла.
и не вроде, а ушла. Официальный новый релиз с сайта - глючный. -
2 Sheva
Доброе.
Если в 2.3.х нет ftp proxy - это не означает, что он глючный. Конкретизируйте. -
Добрый день.
Ищу альтернативу Ideco,ICS.
Количество пользователей примерно 150.
Хотелось бы узнать несколько вопросов по возможностям данного продукта.
Если можно то дайте пожалуйста ссылки, чтобы в дальнейшем избежать глупых вопросов.1. Создание списка пользователей, разбиение на группы (если есть возможность на добавление пользователей через сканирование сети или из списка)
2. Проброс портов.
3. Создание VPN соединения.
4. И самое главное: возможна ли HTTPS фильтрация без подмены сертификата у пользователей и как её организовать?Заранее спасибо всем тем кто окажет мне помощь в изучении данного продукта.
-
Доброе
1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.
P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v
-
Доброе
1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.
P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v
1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.
2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?
Заранее спасибо.
P.s. книгу нашел, изучаю видео-уроки.
