Вопросы новичка по pfsense
-
MegoChelovek, Большая, но с учетом того что вы живете в общаге то я сильно сомневаюсь что кто-то имеет необходимые знания.
spartak_lp, Разрешите ICMP на WAN. -
spartak_lp, Разрешите ICMP на WAN.
Вот так (скрин)? И в чем отличие, если выбираешь WAN address или WAN subnet в поле Destination?
-
spartak_lp, Разрешите ICMP на WAN.
Вот так (скрин)? И в чем отличие, если выбираешь WAN address или WAN subnet в поле Destination?
WAN address -1 адрес
WAN subnet- 1 подсеть - 4 months later
-
-
Выключите IPv6 в настройках сети у клиентов Вашей LAN.
-
в каком разделе это выполняется?в фаерволе правильным будет запретить ipv6?
-
в каком разделе это выполняется?в фаерволе правильным будет запретить ipv6?
Пуск - Панель управления - Сетевые подключения..
-
ааа,понятно :-[ ;D
- 7 days later
-
Доброго времени суток!
Подскажите пожалуйста как правильно сконфигурировать правила для фаервола.
Есть вкладка Wan.
Есть вкладка Lan.
Я так понимаю это два моих интерфейса. Прописал правила в Lan, вроде работает, но не всё и не всегда так:)
Так вот в чём вопрос:
Правильно ли я понимаю как оно работает?
Правила вкладки Lan обрабатывают ТОЛЬКО внешние(н-р из локальной сети) запросы которые пришли на этот интерфейс и аналогично для Wan?
Получается ежели требуется обратиться в инет, то по моему пониманию Lan обработал запрос и выкинул\запретил в инет через Wan который не проверяет в своих правилах.
Ну и в обратную сторону через Wan.P.s. не отсылайте в поиск пожалуйста, правда искал, но прямого ответа не нашел.
Связка Pfsence 2.1+Lightsquid+Squid работает уже пол-года, но никак не могу правильно настроить самостоятельно. -
Доброго времени суток!
Правильно ли я понимаю как оно работает?
Правила вкладки Lan обрабатывают ТОЛЬКО внешние(н-р из локальной сети) запросы которые пришли на этот интерфейс и аналогично для Wan?
Получается ежели требуется обратиться в инет, то по моему пониманию Lan обработал запрос и выкинул\запретил в инет через Wan который не проверяет в своих правилах.
Ну и в обратную сторону через Wan.Каждый интерфейс настроен так, что
1. все пакеты, отправляемые из pfSense наружу идут свободно (разрешены);
2. все пакеты поступающие на интерфейсе внутрь pfSense фильтруются правилами и дальше без помех отправляются наружу через нужный интерфейс (см п.1)
3. все "ответные" пакеты проскакивают назад без фильтрации (ключевое слово States)Итого: если клиент стучится в интернет, то фильтрация будет осуществляться правилами LAN, а ответные пакеты из интернета "проскакивают" обратно без фильтрации.
-
Большое спасибо за ответ!
Вот ещё какой вопрос мучает:
Прокси у меня прозрачный(авторизацию пока не одолел) и все кто прописывает ip прокси могут выйти в инет.
Как запретить им это дело?
Может я не прав, но на сколько я понял все кто выходит в инет обходя таким образом прокси, правилами фаервола не пользуется(либо через раз). -
Прокси у меня прозрачный(авторизацию пока не одолел) и все кто прописывает ip прокси могут выйти в инет.
Как запретить им это дело?
Может я не прав, но на сколько я понял все кто выходит в инет обходя таким образом прокси, правилами фаервола не пользуется(либо через раз).Нет не обходят. Раз у Вас нет авторизации либо нет запрета/фильтра на прокси - будут ходить все кто пропишет его адрес.
-
Ну тогда пока всё понятно. Теперь думаю сам докопаю:)
Большое спасибо за помощь! -
Ну тогда пока всё понятно. Теперь думаю сам докопаю:)
Большое спасибо за помощь!Только сейчас обратил внимание..
Прозрачный прокси - вы имеете ввиду, что стоит такая галка в настройках Squid?
Если да, то прописывай/не прописывай - клиент всё равно попадёт на прокси.
Но в любом случае у Вас в файерволе должен быть запрет на прямое прохождение трафика клиент - 80/443 порт инета (!LAN). -
Добавлю своих пару вопросов новичка:
-
Есть сохраненная конфига от успешно работающего pfSense. Есть большое желание воткнуть эту конфигу на свежеустановленный pfSense. Что и было проделано через Web-интерфейс. После применения изменений и перезагрузки pfSense я получаю запущенную консоль с приглашением "login:" После ввода логина и пароля я получаю строку с двоеточием на конце. Вопрос в том, как можно вызвать нумерованый список, который появляется после завершения установки pfSense? Где можно выбирая соотв. цифру назначить интерфейсы, назначить ip-шники, перезагрузить и пр? Вопрос вызван тем, что после применения этой конфиги я не могу зайти на Web-интерфейс.
-
Как прокрутить результат выполнения ifconfig или сделать его выводимым поэкранно? После выполнения команды я вижу инфу только по двум последним интерфейсам, все остальное выше и не влезает в рамки монитора
Спасибо.
-
-
В консоли наберите exit (или quit) чтобы попасть в меню.
Ifconfig
http://www.freebsd.org/cgi/man.cgi?query=ifconfig&sektion=8
http://ru.wikipedia.org/wiki/Ifconfig -
После ввода Exit я попадаю на строку Login:
Дальнейший ввод Exit или Quit расценивается как имя пользователя. -
Зайдите через Web. Кажется там в настройках есть галка, к-ая этому делу вкл\выкл делает.
-
Зайдите через Web.
Вопрос вызван тем, что после применения этой конфиги я не могу зайти на Web-интерфейс.
-
2 TC
Ставьте "на чистую". Попробуйте восстанавливать конфиг частями. Т.е. попробовали восстановить правила NAT - все работает - сохранили конфиг.
И далее в таком же духе. -
2 TC
Ставьте "на чистую". Попробуйте восстанавливать конфиг частями. Т.е. попробовали восстановить правила NAT - все работает - сохранили конфиг.
И далее в таком же духе.Опробован обратный процесс.
Настроил WAN и LAN.
Т.е. простейшие настройки. Не более.Сохранили конфиг.
В конфиг вставили кусок с правилами (из архивного), подгрузили… проверили, вставили , подгрузили проверили. и т. д. Пакеты в конце!
заодно узнаем на чем затык. скорее всего в миграции со старой на более новую версию pf. и интерфейсы...
- about a month later
-
Доброго времени суток!
Работаю на Pfsence 2.1+Lightsquid+Squid. Прокси прозрачный.
Почему то "тормозят" некоторые сайты, типа сбербанка онлайн. Сайты открываются, т.е. порты открыты, но с сильной задержкой. Если открыть сайт без PFsence, то всё прекрасно(т.е. скорость нормальная:)
Как сделать правило для выхода "напрямую" в интернет, без участия прокси? -
В настройке Squid -
Bypass source IP \ Bypass destination IP
-
Ага, вроде заработало, Спасибо за подсказку!
P.s. для нубасов вроде меня:
Servis- Proxy Server- Bypass proxy for these source IPs - вбить IP который нужно пропускать наружу без прокси.
Мне пришлось в настройках браузера отключить прокси и прописать шлюз в настройках сети.
или\и
Servis- Proxy Server- Bypass proxy for these destination IPs - вбить IP на который нужно пропускать без прокси. -
Мне пришлось в настройках браузера отключить прокси и прописать шлюз в настройках сети.
или\иОн у вас не прозрачный (transparent) ?
-
Он у вас не прозрачный (transparent) ?
Да, я это выше писал, в вопросе:)
Попробовал отключить эти настройки (Bypass proxy for these destination IPs\Bypass proxy for these source IPs) всё прекрасно работает и без них…
Т.е. получается все кто подключаются через шлюз обходят прокси и правила? -
@ L0gin86
Работаю на Pfsence 2.1+Lightsquid+Squid. Прокси прозрачный.
Мне пришлось в настройках браузера отключить прокси и прописать шлюз в настройках сети.
или\иНа кой ляд вы прописываете явно прокси в браузере , если он ПРОЗРАЧНЫЙ ?!
-
Ну например чтобы другие проги не тянулись в инет:)
и собсно по факту получается правила применяются только ч\з браузер. -
Ну например чтобы другие проги не тянулись в инет
Если для "защиты" только, т.е. софт читает данные о прокси, а там "левый" указан, то такой вариант возможен. Но у вас другой случай, по-моему.
и собсно по факту получается правила применяются только ч\з браузер.
Не понял этой фразы.
P.s. Сквид "перехватывает" все что идет во вне на 80-й порт (HTTP) и "пропускает" через себя. Все остальные правила рисуются ручками в fw.
-
Не понял этой фразы.
Мне пришлось в настройках браузера отключить прокси
P.s. Сквид "перехватывает" все что идет во вне на 80-й порт (HTTP) и "пропускает" через себя. Все остальные правила рисуются ручками в fw.
Ну тогда объясните мне почему:
прописал прокси в настройках браузера - тот же злосчастный СБ онлайн тормозит несусветно…
Отключаю проксю в браузере, прописываю шлюз в настройке сети - СБ онлайн летает.
Итог - Используются одинаковые правила, одинаковые порты, но в одном случае тормозит, в другом нет.
Объяснить это кроме как обходом прокси не могу...
Ваш вариант?:) -
Уважаемый, Сбербанк Ваш по https работает? Этот адрес - https://online.sberbank.ru/ ?
Если это так - то причем тут сквид ?! Он https не фильтрует!P.s. Для тех , кто в танке еще раз говорю - не надо при прозрачном сквиде ЯВНО указывать его в настройках браузеров у клиентов!
P.p.s. Хотите правило для СБ - рисуйте его в fw.
-
Ух эмоций сколь:) А прямых ответов всё меньше…
не надо при прозрачном сквиде ЯВНО указывать его в настройках браузеров у клиентов!
В таком случае без указания шлюза в сети инет работать не будет.
Да и потом, коль он не фильтрует https, то почему происходят задержки?
И вообще почему вообще различия проявляются?
По логике вещей одно и тоже должно быть.
p.s. даhttps://online.sberbank.ru/
-
В таком случае без указания шлюза в сети инет работать не будет.
так ты шлюз не в настройках браузера, а в настройках сетевой карты пропиши (возможно и будет тебе счастье :) -
@ L0gin86
Ответ я Вам дал. Читайте как работает "прозрачный" сквид.P.s. И укажите наконец в настройках сетевой карты шлюзом ip машины с pfsense. И про DNS не забудьте тоже
почитать. -
так ты шлюз не в настройках браузера, а в настройках сетевой карты пропиши (возможно и будет тебе счастье
Так я это и сделал:) Всё заработало, спасибо werter! НО появились вопросы на которые я пока не получил ответы.
и вопрос заключается в следующем:
Почему происходит задержка(страницы открываются около минуты) трафика (который не фильтруется sqiud-ом) при указанной прокси в браузере.
И не происходит при указании шлюза в настройках сетевой карты.
Шлюз\прокси - машина с PFSense:)
На сколько я понимаю эти "режимы" должны быть идентичными. Да и не вечно же на прозрачной сидеть, когда то надо будет и на AD подвязаться:) -
Возможно дело в DNS. Запросы через squid используют среду squid/pfSense для разрешения имён. А прямые запросы используют локальные средства клиента. Проверьте на Windows командой nslookup <домен сайта> работу локальных настроек DNS у клиента.
-
Проверьте на Windows командой nslookup <домен сайта> работу локальных настроек DNS у клиента.
Возможно я неверно Вас понял, но как раз таки когда клиент использует маршрут шлюза сетевой карты, то всё прекрасно работает.
Меня интересовало почему через прокси(в настр браузера) тормозит, ведь он же должен пропускать этот трафик.
Добавление правила в настройках фаервола положительных результатов не дает.
P.s. на всякий проверил командой, сайт находится.
В принципе не критично на данный момент, может потом сам дойду:)
всем спасибо, кто отвечал!
Но если есть ещё идеи, пошаманил бы:) -
Я невнимательно прочитал и понял обратное.
Со Squid причиной может быть как параметры настроек, так и нехватка ресурсов железа. Здесь нужно внимательно разбираться. -
Со Squid причиной может быть как параметры настроек, так и нехватка ресурсов железа. Здесь нужно внимательно разбираться.
Понятно, спасибо! Пока вопросов больше нет:) поковыряюсь :)
- 2 years later
-
Доброго дня. Подскажите пожалуйста можно ли использовать PFsens в качестве нас сервера (примерно около 3000 VPN подключений)? На данный момент используется MPD5 на freebsd 10 PPTP подключения + билинг с радиусом на отдельной машине.