Вопросы новичка по pfsense
-
PbIXTOP спасиб, цель достигнута) Еще вопрос по ftp:
При подключении к удаленному внешнему серверу происходит мгновенная авторизация, но листинг по директориям занимает минуту-две на каждую папку. Причем само скачивание файла происходит мгновенно. Перепробовал все браузеры и ftp-клиенты, ситуация везде одинакова. При использовании другого прокси-сервера, но того-же софта - проблема исчезает. Т.е. дело в pfsense. Подскажите в какую сторону копать? (в файрволе, clam-e и сквиде ip-адрес фтп-ника разрешен) -
2 artsi
Доброе.
В каком режиме работает удаленный ftp ?
Вкл. логирование fw пф и смотрите на происходящее там. -
Пакет FTP_Client_Proxy не пробовали?
-
А что в логах пишет?
в System logs появляются только в DHCP : https://yadi.sk/d/Us3R-lbH3DnSUQ
Shell Output - ifconfig: https://yadi.sk/d/Zy_UWtbA3DnVk5Установил 2.1.5-RELEASE, работает шустрее, да и проблема вроде как ушла.
и не вроде, а ушла. Официальный новый релиз с сайта - глючный. -
2 Sheva
Доброе.
Если в 2.3.х нет ftp proxy - это не означает, что он глючный. Конкретизируйте. -
Добрый день.
Ищу альтернативу Ideco,ICS.
Количество пользователей примерно 150.
Хотелось бы узнать несколько вопросов по возможностям данного продукта.
Если можно то дайте пожалуйста ссылки, чтобы в дальнейшем избежать глупых вопросов.1. Создание списка пользователей, разбиение на группы (если есть возможность на добавление пользователей через сканирование сети или из списка)
2. Проброс портов.
3. Создание VPN соединения.
4. И самое главное: возможна ли HTTPS фильтрация без подмены сертификата у пользователей и как её организовать?Заранее спасибо всем тем кто окажет мне помощь в изучении данного продукта.
-
Доброе
1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.
P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v
-
Доброе
1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.
P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v
1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.
2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?
Заранее спасибо.
P.s. книгу нашел, изучаю видео-уроки. -
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспот -
1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.
Это что-то из мира фантастики.
2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?
Вот тут реализовали mitm для squidguard (форк пф) - http://distrowatch.com/?newsid=09714 . И вот тут http://www.nethserver.org/nethserver-7-final-released/
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспотТак разделенные сегменты L2 и так не покажут через окружение сети друг-друга, если только не знать на какой IP ломиться, но тут спасает по умолчанию бранмауэр Windows
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспотТак разделенные сегменты L2 и так не покажут через окружение сети друг-друга, если только не знать на какой IP ломиться, но тут спасает по умолчанию бранмауэр Windows
что делать с расшаряными папками и принтерами?
-
помогите с проблемой..
Есть сервер в локальной сети.
Есть клиенты , которые подключаются к нему через свой клиент, по порту 8085. ( по http )При установке в браузере прописываю проксю, клиент перестают соединяться с сервером.
Как реализовать ?
1. сервер: 192.168.29.10
2. клиент: 192.168.23.11 -
Подскажите что это за правило?
The rule that triggered this action is:
@107(1000010015) pass out log inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"Создаю правило на влане запретить всё, а пакеты проходят и в логе это правило светится. :(
-
Подскажите что это за правило?
The rule that triggered this action is:
@107(1000010015) pass out log inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"Создаю правило на влане запретить всё, а пакеты проходят и в логе это правило светится. :(
Что за вилан? Топологию сети расскажите и конф интерфейсов пфскнса.
Могу предположить что правило запрета в списке ниже чем разрешающее правило. Первым применяется то, которое выше в списке. -
@Bansardo:
Что за вилан? Топологию сети расскажите и конф интерфейсов пфскнса.
Могу предположить что правило запрета в списке ниже чем разрешающее правило. Первым применяется то, которое выше в списке.Самые обычные вланы, созданные через Interfaces -> VLANs.
Пока писал ответ выяснилось что если хоть на одном из интерфейсов есть правило разрешить всё и всюду, то никакие запрещающие правила на втором интерфейсе не помогут. Странно конечно, но получается так. -
Странно конечно, но получается так.
Доброе.
Это логично. Т.е. если это касается LAN, то и работать оно будет только для того, что имеет _src=_LAN net, _dst=_что-то-вовне\др. интерфейс. Аналогично и по др. интерфейсам.
Поймете это правило - все сразу оформится в единую картину. -
Добрый день прошу присутствующих гуру просветить , есть сеть 10.100.100.0/24 с внешним ип
111.111.111.111 , есть вторая подсеть 10.10.10.10/24 с внешним ип 222.222.222.222 между сетями поднят шифрованный впн туннель ikev2 site to site . Задача состоит в том чтобы допустим хост 10.100.100.101 взаимодействовал с внешней сетью с внешним ип 222.222.222.222. Тоесть выход во внешнюю сеть осуществляется через туннель и внешний ип подсети 10.10.10.0/24 . весь исходящий и входящий трафик для сети 10.100.100.0/24 идет через туннель . Сейчас это реализовано с помощью asa 5515 (10.100.100.0/24) и 5505 (10.10.10.0/24). Возможно ли заменить 5505 на pfsense и реализовать текущий функционал???
Заранее извиняюсь если такая тема рассматривалась но форуме но более менее четкого гайда по настройке связки s ty s ikev 2 между asa и pfsense на форуме так и не нашёл . Также готов к сотрудничеству если кто то возьмётся реализовать данный функционал на демо стенде -
2 workitnik
Доброе.
Схему нарисуйте. Так нагляднее будет.P.s. Демостенд готов ?
-
За основу можно взять общую инструкцию для site to site с выходом в интернет через IP другой стороны туннеля:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnelВ интернет через туннель должен ходить только 10.100.100.101 или вся сеть 10.100.100.0/24?