Вопросы новичка по pfsense
-
Добрый день.
Ищу альтернативу Ideco,ICS.
Количество пользователей примерно 150.
Хотелось бы узнать несколько вопросов по возможностям данного продукта.
Если можно то дайте пожалуйста ссылки, чтобы в дальнейшем избежать глупых вопросов.1. Создание списка пользователей, разбиение на группы (если есть возможность на добавление пользователей через сканирование сети или из списка)
2. Проброс портов.
3. Создание VPN соединения.
4. И самое главное: возможна ли HTTPS фильтрация без подмены сертификата у пользователей и как её организовать?Заранее спасибо всем тем кто окажет мне помощь в изучении данного продукта.
-
Доброе
1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.
P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v
-
Доброе
1. Уточните для чего именно списки. Веб - вполне (группы в сквиде) или ip alias, если не веб.
2. Да.
3. Да
4. Пока нет.Ищите книгу pfsense cookbook. Есть и на русском (не вся) и не для 2.3.х-версии, но вполне.
P.s. Видео-уроки https://www.youtube.com/playlist?list=PL2BaVmpX7hX8fJtOkTD7M_pUHryQzVl8v
1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.
2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?
Заранее спасибо.
P.s. книгу нашел, изучаю видео-уроки. -
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспот -
1. Наверное я неточно объяснил: я хотел уточнить можно ли средствами pfsense отсканировать локальную сеть и выбрать оттуда пользователей имеющих доступ к интернету или самому загрузить такой список, чтобы не вводить их руками.
Это что-то из мира фантастики.
2. По 4 пункту Может все-таки существуют способы блокировки определенным группам пользователей доступа в социальные сети, просмотр видео и некоторым сайтам ?
Вот тут реализовали mitm для squidguard (форк пф) - http://distrowatch.com/?newsid=09714 . И вот тут http://www.nethserver.org/nethserver-7-final-released/
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспотТак разделенные сегменты L2 и так не покажут через окружение сети друг-друга, если только не знать на какой IP ломиться, но тут спасает по умолчанию бранмауэр Windows
-
у меня роутер на pfSense имеет локальный ip:192.168.100.254, по dhcp выдаются адреса в диапазоне 192.168.100.100-192.168.100.200, как сделать так чтобы эти клиенты не могли получать доступ в локальную сеть(192.168.0.1-192.168.0.255 и вторая сеть 192.168.1.1-192.168.1.255) поскольку в ней есть компьютеры с расшаряными дисками.
Опишите подробнее — откуда взялись сети 0.255 и 1.255? куда они подключены?
При обычной нормальной настройке Windows, её брандмауэр не позволяет производить доступ к SMB из не своей подсети.http://img-host.org.ua/images/00000000fqf.jpg
Вот карта сети, нужно изолировать (чтобы не могли видеть в сети компьютеры) с сети "Здание 1", это вай файт хотспотТак разделенные сегменты L2 и так не покажут через окружение сети друг-друга, если только не знать на какой IP ломиться, но тут спасает по умолчанию бранмауэр Windows
что делать с расшаряными папками и принтерами?
-
помогите с проблемой..
Есть сервер в локальной сети.
Есть клиенты , которые подключаются к нему через свой клиент, по порту 8085. ( по http )При установке в браузере прописываю проксю, клиент перестают соединяться с сервером.
Как реализовать ?
1. сервер: 192.168.29.10
2. клиент: 192.168.23.11 -
Подскажите что это за правило?
The rule that triggered this action is:
@107(1000010015) pass out log inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"Создаю правило на влане запретить всё, а пакеты проходят и в логе это правило светится. :(
-
Подскажите что это за правило?
The rule that triggered this action is:
@107(1000010015) pass out log inet all flags S/SA keep state allow-opts label "let out anything IPv4 from firewall host itself"Создаю правило на влане запретить всё, а пакеты проходят и в логе это правило светится. :(
Что за вилан? Топологию сети расскажите и конф интерфейсов пфскнса.
Могу предположить что правило запрета в списке ниже чем разрешающее правило. Первым применяется то, которое выше в списке. -
@Bansardo:
Что за вилан? Топологию сети расскажите и конф интерфейсов пфскнса.
Могу предположить что правило запрета в списке ниже чем разрешающее правило. Первым применяется то, которое выше в списке.Самые обычные вланы, созданные через Interfaces -> VLANs.
Пока писал ответ выяснилось что если хоть на одном из интерфейсов есть правило разрешить всё и всюду, то никакие запрещающие правила на втором интерфейсе не помогут. Странно конечно, но получается так. -
Странно конечно, но получается так.
Доброе.
Это логично. Т.е. если это касается LAN, то и работать оно будет только для того, что имеет _src=_LAN net, _dst=_что-то-вовне\др. интерфейс. Аналогично и по др. интерфейсам.
Поймете это правило - все сразу оформится в единую картину. -
Добрый день прошу присутствующих гуру просветить , есть сеть 10.100.100.0/24 с внешним ип
111.111.111.111 , есть вторая подсеть 10.10.10.10/24 с внешним ип 222.222.222.222 между сетями поднят шифрованный впн туннель ikev2 site to site . Задача состоит в том чтобы допустим хост 10.100.100.101 взаимодействовал с внешней сетью с внешним ип 222.222.222.222. Тоесть выход во внешнюю сеть осуществляется через туннель и внешний ип подсети 10.10.10.0/24 . весь исходящий и входящий трафик для сети 10.100.100.0/24 идет через туннель . Сейчас это реализовано с помощью asa 5515 (10.100.100.0/24) и 5505 (10.10.10.0/24). Возможно ли заменить 5505 на pfsense и реализовать текущий функционал???
Заранее извиняюсь если такая тема рассматривалась но форуме но более менее четкого гайда по настройке связки s ty s ikev 2 между asa и pfsense на форуме так и не нашёл . Также готов к сотрудничеству если кто то возьмётся реализовать данный функционал на демо стенде -
2 workitnik
Доброе.
Схему нарисуйте. Так нагляднее будет.P.s. Демостенд готов ?
-
За основу можно взять общую инструкцию для site to site с выходом в интернет через IP другой стороны туннеля:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnelВ интернет через туннель должен ходить только 10.100.100.101 или вся сеть 10.100.100.0/24?
-
2 workitnik
Доброе.
Схему нарисуйте. Так нагляднее будет.P.s. Демостенд готов ?
Схему сейчас изображу
Демо стенд готов доступы в личку после обсуждения условий и контакта , -
За основу можно взять общую инструкцию для site to site с выходом в интернет через IP другой стороны туннеля:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnelВ интернет через туннель должен ходить только 10.100.100.101 или вся сеть 10.100.100.0/24?
Планируется что структура имеет большое количество ветвей и оконичников
По этому доступ для определённого хоста в свой туннель и оконечный внешний ип
-
За основу можно взять общую инструкцию для site to site с выходом в интернет через IP другой стороны туннеля:
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnelВ интернет через туннель должен ходить только 10.100.100.101 или вся сеть 10.100.100.0/24?
И да данная схема в полнее приемлема но с условием что доступ идет не для подсети а для конкретного ип и со стороны ип должна быть ASA
-
Подскажите, с чем связано и на что обратить внимание, логи забиты:
Apr 4 14:51:15 kernel (ada0:ata3:0:1:0): Retrying command
Apr 4 14:51:17 kernel (ada0:ata3:0:1:0): READ_DMA48. ACB: 25 00 1f 81 b6 40 22 00 00 00 08 00
Apr 4 14:51:17 kernel (ada0:ata3:0:1:0): CAM status: ATA Status Error
Apr 4 14:51:17 kernel (ada0:ata3:0:1:0): ATA status: 51 (DRDY SERV ERR), error: 40 (UNC )
Apr 4 14:51:17 kernel (ada0:ata3:0:1:0): RES: 51 40 21 81 b6 22 22 00 00 06 00
Apr 4 14:51:17 kernel (ada0:ata3:0:1:0): Retrying command -
Диск\кабель\контроллер
(ada0:ata3:0:1:0): READ_DMA48. ACB: 25 00 1f 81 b6 40 22 00 00 00 08 00 - судя по всему ошибка чтения сектора.