Вопросы новичка по pfsense
-
@Sas:
Теперь появилась другая проблема.
Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.
Подскажите, что я делаю не так? Схему прикрепил.
Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.
Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?
-
Добрый день.
Начал изучать pfsense и появилась куча вопросов.Имеется сеть предприятия примерно 200 компов
Установлено:
pfSense-CE-2.3.4-RELEASE-amd64 (никаких правил не создавал)
squid 0.4.36_3
Lightsquid 3.0.6_4Стоит задача
Надо чтобы у примерно у 100 пользователей был доступ к интернету.
Велась статистика по этим пользователям.
Блокировка определенных ресурсов (соц.сети и т.д.)Итак я начал со статистики
делал по инструкции
https://forum.pfsense.org/index.php/topic,43240.15.html
дошел до
Запускаем парсер squid логов- Исполняем /usr/local/www/lightsquid/lightparser.pl и ждем завершения
но у меня ничего не происходит сразу же выскакивает командная строка
Когда Открываю браузер и ввожу http://мой_IP/lightsquid/index.cgi
Выскакивает запрос на сохранение/открытие файла index.cgi
захожу в Status->Services и вижу что lightsquid_web не запущен
Иду Status-> Proxy Reports: Settings сохраняю настройки
захожу в Status->Services и вижу что lightsquid_web уже запущен
Но результат не изменился
Вопрос1
Чего я ещё не сделал или всё это надо делать по другому (если можно ссылку) ?
Вопрос2
Я так понимаю по умолчанию все пользователи свободно проходят через прокси в интернет.
чтобы ходили определенные пользователи надо ip этих пользователей
прописать в Proxy Server: Access ControlACLs->Allowed Subnets в формате 10.10.10.1\32
или надо создать какие-то правила и где ?
Вопрос3
Для блокировки определенных ресурсов (соц.сети и т.д.) нужно установить и настроить SquidGuard (тыкните носом
куда смотреть) ?
Заранее спасибо всем кто поможет.
- Исполняем /usr/local/www/lightsquid/lightparser.pl и ждем завершения
-
@Sas:
@Sas:
Теперь появилась другая проблема.
Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.
Подскажите, что я делаю не так? Схему прикрепил.
Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.
Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?
В разных местах это назыется по разному в pfSense реализуется через Firewall/Nat/Port Forward. Тут еще стоит вопрос, а умеет ли прокси работать прозрачном режиме. И не забывать о возможноц проблеме ассиметричной маршрутизации.
-
@Sas:
@Sas:
Теперь появилась другая проблема.
Есть в сети прокси сервер - 10.10.10.3.
Есть DHCP сервер через pfsense.
Есть Server 2008 R2.Мне нужно, чтобы трафик шёл через прокси. На DHCP сервере прописываю шлюз - 10.10.10.3 (сам прокси). И что-то не работает. Не видит прокси.
Подскажите, что я делаю не так? Схему прикрепил.
Потому что прокси не является маршрутизатором. Это программа, к которой должны подключаться клиенты напрямую или быть перенаправлены туда правилами файрвола.
Подскажите, можно ли на pfsense настроить правило, чтобы клиенты шли через этот прокси? Где можно почитать, как это реализуется?
В разных местах это назыется по разному в pfSense реализуется через Firewall/Nat/Port Forward. Тут еще стоит вопрос, а умеет ли прокси работать прозрачном режиме. И не забывать о возможноц проблеме ассиметричной маршрутизации.
Прокси на squid'е + SAMS.
- 7 days later
-
Добрый день
Столкнулся с настройкой Lightsquid. Прокси настроил. При настройке Status/Squid Proxy Reports: Settings при сохранении выдает ошибкуPlease, configure Squid - General - Proxy Interface(s) to include 'loopback' interface.
В Proxy interface стоит LAN. Если я указываю lookback то Squid proxy Report сохраняется без ошибок, но понятное дело перестает работать Proxy.
В чем проблема? Возможно где то что то упустил.
-
Добрый день
Столкнулся с настройкой Lightsquid. Прокси настроил. При настройке Status/Squid Proxy Reports: Settings при сохранении выдает ошибкуPlease, configure Squid - General - Proxy Interface(s) to include 'loopback' interface.
В Proxy interface стоит LAN. Если я указываю lookback то Squid proxy Report сохраняется без ошибок, но понятное дело перестает работать Proxy.
В чем проблема? Возможно где то что то упустил.
Наверное вы просто незамети волшебную надпись под выбором интерфейсов.
-
Добрый день!
Мучаюсь уже полгода с настройками. Запутался напрочь.
Может кто может разложить как, где и что нужно настраивать, а еще лучше сделает подробный обзор по настройке Pfsense 2.3.Необходимо следующие моменты:
- Прозрачный прокси (HTTP и HTTPS)
- Закрыть вторжение в сеть
- VPN между филиалами (общие папки и переписка)
- MultiWAN (балансировка и резервный)
- Черный список, ограничение по времени, балансировка скорости.
- Антивирус
- Выдача IP адреса по MAC (DHCP сервер)
- Стастистика посещения по пользователям (Lightsquid)
- Заворачивать с модема подключения по WI-FI для контроля.
- Корректная работа Skype, также открытие сайтов не указанных в черных списках (не все сайты открываются).
- Удаленное подключение через интернет к ПК группы, в том числе филиалы. (Remmina)
- Кэширование посещение сайтов и другие методы для ускорения загрузки сайтов.
- Оформление уведомления пользователей о причинах блокировки.
- и др. полезные настройки.
Можно скрины ваших настроек или сбросить ваши настройки, попробую разобраться.
Но все таки лучше подробная инструкция с комментами. -
Да точно. Спасибо.
-
Добрый день!
Мучаюсь уже полгода с настройками. Запутался напрочь.
Может кто может разложить как, где и что нужно настраивать, а еще лучше сделает подробный обзор по настройке Pfsense 2.3.Необходимо следующие моменты:
- Прозрачный прокси (HTTP и HTTPS)
- Закрыть вторжение в сеть
- VPN между филиалами (общие папки и переписка)
- MultiWAN (балансировка и резервный)
- Черный список, ограничение по времени, балансировка скорости.
- Антивирус
- Выдача IP адреса по MAC (DHCP сервер)
- Стастистика посещения по пользователям (Lightsquid)
- Заворачивать с модема подключения по WI-FI для контроля.
- Корректная работа Skype, также открытие сайтов не указанных в черных списках (не все сайты открываются).
- Удаленное подключение через интернет к ПК группы, в том числе филиалы. (Remmina)
- Кэширование посещение сайтов и другие методы для ускорения загрузки сайтов.
- Оформление уведомления пользователей о причинах блокировки.
- и др. полезные настройки.
Можно скрины ваших настроек или сбросить ваши настройки, попробую разобраться.
Но все таки лучше подробная инструкция с комментами.- Google
2)Google
…Google
Ибо все что вы спросили это ничего более нежели стандартные административные навыки.
Если вы не можете решить данные пункты смените профессию - ибо проблема у вас не с PFsense. -
Если вы не можете решить данные пункты смените профессию - ибо проблема у вас не с PFsense.
Отвечать приходилось и на более тривиальные вопросы
Но вот
Но все таки лучше подробная инструкция с комментами. да по 14 пунктам- это, согласен, слишком.
-
Особенно 14 пункт.
-
Большое спасибо, суперадминистраторы.
Если вы думаете что я не пользовался Гуглом.
Я почти все настраивал по мануалам и советам "суперадминистраторов", где не находил ответа - методами проб.
Хотя хвалите что любой чайник установить PfSesne.Сайты не все открываются, кэш тормозить, в сеть из интернета зайти не могу, сертификаты нужно на всех ПК устанавливать,
МульВАН при обрыве одного оператора полчаса переходить на другую линию, балансировка напрочь замедляет всю сеть,
принтеры в сети под роутером долго принимает на печать, VPN не смог поднять.Потому и прошу, чтобы кто-нибудь на своем примере, описал настройку PfSense.
-
Большое спасибо, суперадминистраторы.
Если вы думаете что я не пользовался Гуглом.
Я почти все настраивал по мануалам и советам "суперадминистраторов", где не находил ответа - методами проб.
Хотя хвалите что любой чайник установить PfSesne.Сайты не все открываются, кэш тормозить, в сеть из интернета зайти не могу, сертификаты нужно на всех ПК устанавливать,
МульВАН при обрыве одного оператора полчаса переходить на другую линию, балансировка напрочь замедляет всю сеть,
принтеры в сети под роутером долго принимает на печать, VPN не смог поднять.Потому и прошу, чтобы кто-нибудь на своем примере, описал настройку PfSense.
Не считал и вряд-ли смогу считать себя суперадминистратором. Тема Сквид меня, например, вообще не касалась.
По заданным тут вопросам.
1.Мультван и сквид плохо совместимы на последних версиях pfSense.
2. Хотите фильтровать HTTPS - сертификаты нужно на всех ПК устанавливать, либо альтернативное решение:
https://forum.pfsense.org/index.php?topic=76816.msg625369;topicseen#msg625369
3. Печать в одной подсети? Тогда она она никак не должна быть связана со шлюзом\pfSense
4. VPN. Рекомендую Open VPN. Поднимается либо встроенным в pfSense визардом, любо вручную. Пакет OpenVPN Client Export позволит выгружать готовые конфиги\инсталляторы для клиентов. -
Спасибо.
Что-то немного для себя понял направление по VPN. Буду пробовать. -
В догонку про мультиван и сквид - уже пиалось много!
Учитывая ваши запросы скорее всего вы подымаете прозрачный прокси - что кстати опять же будет косячиной!
Замените прозрачный прокси WPAD и все будет ровно!
Далее ПРИНТЕРЫ - вышеописанные симптому говорят о том что у вас наглухо неправильно настроены правила фаервола для локальной сети! Попробуйте отключить все ваши правила и добавить только одно
Разрешить всем и все! Тормоза уйдут. -
В догонку про мультиван и сквид - уже пиалось много!
Учитывая ваши запросы скорее всего вы подымаете прозрачный прокси - что кстати опять же будет косячиной!
Замените прозрачный прокси WPAD и все будет ровно!
Далее ПРИНТЕРЫ - вышеописанные симптому говорят о том что у вас наглухо неправильно настроены правила фаервола для локальной сети! Попробуйте отключить все ваши правила и добавить только одно
Разрешить всем и все! Тормоза уйдут.По поводу принтеров - настройка файрвола ничем не поможет, внутри одной сети копьютеры общаються напрямую без участия маршрутизатора.
У принтеров, особенно сетевых, есть множество способов-протоколов для подключения. Я обычно стараюсь использовать RAW протокол (9100 порт).
WSD, IPv6 и прочую ересь стараюсь отключать, чтоб не светилась где попало. Ну и естественно статическая привязка IP для таких принтеров. -
-
1. на компьютере куда проброшены 1562 или 10000 запущено что либо, слушающее на этих портах?
2. если это UDP-порты, обычным сканером портов их не проверишь. -
не пойму логику как открывать доступ к порту, в ipfw все понятно, здесь как то не однозначно.
-
не пойму логику как открывать доступ к порту, в ipfw все понятно, здесь как то не однозначно.
Куда уж проще.
Просто создать правило в закладке Firewall NAT Port Forward
В пункте Filter rule association оставить Add Associated filter rule, тогда правило на WAN создастся автоматически. -
@oleg1969:
Лучший сканер портов ,есть и для Винды с GUI
https://nmap.org/download.html
Товарищу нужно сканировать снаружи, ставить nmap внутри сети для этого смысла особенного нет.
nmap есть и как готовый пакет для pfSense.Готовый к использованию nmap для произвольного IP
https://hidemy.name/ru/ports/ -
проброс портов идет видно в логах pfsensa, но вот сканеры говорят порты закрыты.
-
проброс портов идет видно в логах pfsensa, но вот сканеры говорят порты закрыты.
Еще раз. Проверяемые порты UDP или TCP? UDP сканеры не видят.
-
UDP
-
UDP
Можете попробовать этот тестер:
https://check-host.net/check-udp
вводить для тестирования в виде 1.1.1.1:10000Для UDP результат ожидаемо получается больше похожий на гадание, и вот почему (из мануала nmap):
UDP scan works by sending a UDP packet to every targeted port. For some common ports such as 53 and 161, a protocol-specific payload is sent, but for most ports the packet is empty. The –data-length option can be used to send a fixed-length random payload to every port or (if you specify a value of 0) to disable payloads. If an ICMP port unreachable error (type 3, code 3) is returned, the port is closed. Other ICMP unreachable errors (type 3, codes 1, 2, 9, 10, or 13) mark the port as filtered. Occasionally, a service will respond with a UDP packet, proving that it is open. If no response is received after retransmissions, the port is classified as open|filtered. This means that the port could be open, or perhaps packet filters are blocking the communication. Version detection (-sV) can be used to help differentiate the truly open ports from the filtered ones.
-
по моим скриншотам какие порты должны быть открыты по вашему мнению ?
-
по моим скриншотам какие порты должны быть открыты по вашему мнению ?
Какие заданы на вкладке port forward, те и открыты. Чтобы порт отвечал, на каждом IP, куда открывается порт, должно быть запущено и ждать подключения соответствующее приложение.
-
я думал , что порт делается доступным, создавая правило в FireWall/Rules.
-
я думал , что порт делается доступным, создавая правило в FireWall/Rules.
Для WAN - да.
Для port forward нужны 2 вещи - собственно правило port forward, которое включит механизм DSTNAT (гуглите) и правило на WAN, котрое pfSense создает по умолчанию автоматически. -
Все вроде разобрался, обидно что никак не научился пользоваться Nmap, чтобы четко сканировать доступность UDP портов.
насчет портов PFSENSE полностью настроен, можно браться за VPN. -
Все вроде разобрался, обидно что никак не научился пользоваться Nmap, чтобы четко сканировать доступность UDP портов.
насчет портов PFSENSE полностью настроен, можно браться за VPN.Достоверно доступность UDP портов просканировать невозможно. Если грубо - сканирование TCP использует стандартный функционал TCP (грубо - вопрос-ответ), от приложения не зависящий. Для UDP вопрос-ответ специфичен для каждого конкретного приложения.
Я уже приводил цитату их мануала nmap. - 6 months later
-
Стоит роутер с адресом 192.168.1.1 и компьютеры с вручную поставленным адресом шлюза 192.168.1.1. Если ставить PFsense с адресом 192.168.1.2 и роутером через WAN надо на компьютерах выставлять айпи роутера или айпи PFsense?
-
Доброго.
Оставляйте только пф. Железный роутер не нужен. -
Как распределить скорость между компьютерами?
Желательно попроще, но чтобы торренты тоже ограничивал.
Подключение стандартное - Wan - ppoe, LAN - хаб.
Роутер как хаб на два компа по кабелю и Вайфай.
Нужно распределить скорость интернета равномерно, либо кому то чуть больше. Спс заранее. -
самое лучшее ограничение скорости для торрентов - это шейпер на порту коммутатора.
Всё остальное от лукавого.
Лучшее всего смотрите в сторону limiter, там просто как 2 пальца. Но изза огромного burst он торренты режет не очень то эффективно. -
Как распределить скорость между компьютерами?
Желательно попроще, но чтобы торренты тоже ограничивал.
Подключение стандартное - Wan - ppoe, LAN - хаб.
Роутер как хаб на два компа по кабелю и Вайфай.
Нужно распределить скорость интернета равномерно, либо кому то чуть больше. Спс заранее.Из коллекции ссылок. Сам не пользуюсь, советов дать не смогу
https://www.reddit.com/r/PFSENSE/comments/3e67dk/flexible_vs_fixed_limiters_troubleshooting_with/
https://forum.pfsense.org/index.php?topic=63531.0 -
Доброго.
Вот эта ссылка https://forum.pfsense.org/index.php?topic=126637.0. Все остальное свое отжило. Это как воду коромыслом носить имея водопровод в доме.Только обязательно прочесть последние 5 страниц топика. Там способ с shellcmd описан. Он более дружелюбный.
З.ы. Кто б ее в шапку прибил?
-
Доброго.
Вот эта ссылка https://forum.pfsense.org/index.php?topic=126637.0. Все остальное свое отжило. Это как воду коромыслом носить имея водопровод в доме.Только обязательно прочесть последние 5 страниц топика. Там способ с shellcmd описан. Он более дружелюбный.
З.ы. Кто б ее в шапку прибил?
И желательно на русском языке)
-
Привет всем
у меня вопрос специфическийнастройл pfsense + squid+squidguad+CA certificate+ssl iterception
для фильтрации сайтов все работает отлично кроме одного www.google.ru
все сайты youtube mail ru итд работаю и с https только именно google пишет ошибка сертификата как обойти или настройть зарание благодарен спасибр -
Доброго.
Добавьте в исключения.