Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    настройка firewall pfsense 2.1.5 если локальные сети за пров

    Russian
    3
    38
    7563
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      CheBurashka last edited by

      Здравствуйте, хотелось бы получить помощь в настройке файервола, ситуация следующая: есть центральный офис с внутренней сетью (192.168.0.0/24), есть филиалы со своими подсетями (192.168.2.0/24, 10.0.105.0/24), в качестве шлюза хочу поставить pfsense (2 сетевые карты - wan (интернет), lan(локалка центрального офиса)), провайдер сделал vlan для наших филиалов, сказав что необходимо настроить наш фаервол для связи центрального офиса с филиалами и всё, но пока что-то не выходит это сделать… пробовал создать vlan на сеть 192.168.2.0/24, повесив на wan, и добавил правила для прохождения всех пакетов из этой сети до 192.168.0.0/24, не прокатило... пока затупаю...

      вот такая схема сети:

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Доброе время суток.
        Покажите скрины настроек VLAN, правил fw.

        P.s.
        http://www.iceflatline.com/2013/09/how-to-create-and-configure-vlans-in-pfsense/
        http://networktechnical.blogspot.ru/2007/04/pfsense-how-to-setup-vlans.html
        https://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
        https://forum.pfsense.org/index.php/topic,70702.msg386111.html
        http://www.youtube.com/watch?v=-Nf_XsmMmWo

        1 Reply Last reply Reply Quote 0
        • C
          CheBurashka last edited by

          вот скрины, я пока добавлял одну подсеть для тестов, пинги не проходили, спасибо за ссылки, ознакомлюсь
          в первом сообщении добавил картинку схемы








          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            У вас маска подсети интерфейса DACHA - /32 ! Смените на правильную для Ваших условий -  /24, например.

            Далее, у вас на WAN - реалтековская сетевая. Она вообще VLAN умеет ? Проверяйте. И меняйте , если нет, на что-то от Intel \ Broadcom.
            На LAN вам VLAN зачем ? Есть ли на LAN у Вас свитчи , к-ые тегированный трафик пропускают? Если нет - можете не мучаться c VLAN на LAN.
            В помощь. Сам пользую - http://xgu.ru/wiki/VLAN

            Следующее, у вас на WAN - неверные правила. Второе сверху должно быть в fw на LAN ! И отключите блокирование "серых" сетей на WAN.
            У вас же там будет висеть VLAN c "серыми" адресами.

            И покажите правила fw на LAN.

            P.s. Смотрю, а на LAN у вас Broadcom :) Попробуйте переназначить интефейсы. После этого - играйтесь с VLAN.

            1 Reply Last reply Reply Quote 0
            • C
              CheBurashka last edited by

              большое спасибо за советы, к сожалению поиграться смогу только после праздников =( по результатам отпишусь

              1 Reply Last reply Reply Quote 0
              • W
                WY6EPT last edited by

                кстати, если у вас коммутатор управляемый, и карты pci \pci-ex, то можно купить интеловую карту за "40" баксов.
                воткнуть провайдера в коммутатор и расшить все подсети вланами, а инет оставить не тегированным.
                получится более правильное решение, к тому же нормальная сетевуха проц будет меньше грузить =)

                только, что заметил, что LAN сидит на брудкоме, лучше будет его для vlan использовать, если он путёвый.

                1 Reply Last reply Reply Quote 0
                • C
                  CheBurashka last edited by

                  шлюз делается на стареньком серваке hp proliant серии ml с одной встроенной сетевушкой, была куплена вторая pci фирмы tp-link для wan, на след. неделе попробую поменять местами wan и lan

                  1 Reply Last reply Reply Quote 0
                  • W
                    WY6EPT last edited by

                    150 еще небось =)
                    у них вшитая брудкомовая сетевуха, она нормальная.

                    управляемого коммутатора нет?

                    1 Reply Last reply Reply Quote 0
                    • C
                      CheBurashka last edited by

                      стоят циски 3 штуки (одна каталист 2960 и 2 small bisness sg-200) после шлюза, но настройкой цисок никогда пока не занимался

                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        @CheBurashka:

                        стоят циски 3 штуки (одна каталист 2960 и 2 small bisness sg-200) после шлюза, но настройкой цисок никогда пока не занимался

                        А прийдется …

                        1 Reply Last reply Reply Quote 0
                        • C
                          CheBurashka last edited by

                          Всем здравствуйте, вот наконец снова приступаю к настройке шлюза после другой срочной работы, итак - собрал такую тестовую схему на картинке, то есть попытался симулировать провайдерскую сеть. Решил пока не заморачиваться с вланами, а сделать с помощью virtualip (то есть повесил ip 192.168.3.1 на wan), так как на шлюзе рабочем на debian примерно так и сделано и работает (сделано так было ещё до меня, в интерфейсе дебиана в настройках сети навешаны ip на WAN для внешних локалок, и в правилах iptables такой бардак, что разобраться очень не просто, поэтому решил с нуля разобраться и перенастроить).  Итак, пинги между подсетями ходят через pfsense, теперь пытаюсь вывести в инет эти две подсети: .1.1/24 в инет ходит, а .3.1/24 в инет не идёт, пока не могу понять почему, надеюсь наведёте на путь истинный



                          ![Firewall Rules.png](/public/imported_attachments/1/Firewall Rules.png)
                          ![Firewall Rules.png_thumb](/public/imported_attachments/1/Firewall Rules.png_thumb)
                          ![Firewall Virtual IP Address.png](/public/imported_attachments/1/Firewall Virtual IP Address.png)
                          ![Firewall Virtual IP Address.png_thumb](/public/imported_attachments/1/Firewall Virtual IP Address.png_thumb)

                          1 Reply Last reply Reply Quote 0
                          • C
                            CheBurashka last edited by

                            Добавлю, что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает (судя по логам), но на самом хосте ответов на пинг нет, где ещё подкрутить кроме firewall? nat (сейчас там автомат стоит)?

                            ![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
                            ![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
                            ![Diagnostics Ping1.png](/public/imported_attachments/1/Diagnostics Ping1.png)
                            ![Diagnostics Ping1.png_thumb](/public/imported_attachments/1/Diagnostics Ping1.png_thumb)
                            ![Diagnostics Ping2.png](/public/imported_attachments/1/Diagnostics Ping2.png)
                            ![Diagnostics Ping2.png_thumb](/public/imported_attachments/1/Diagnostics Ping2.png_thumb)

                            1 Reply Last reply Reply Quote 0
                            • werter
                              werter last edited by

                              Выполните

                              ![2014-12-09 13_03_42.jpg](/public/imported_attachments/1/2014-12-09 13_03_42.jpg)
                              ![2014-12-09 13_03_42.jpg_thumb](/public/imported_attachments/1/2014-12-09 13_03_42.jpg_thumb)

                              1 Reply Last reply Reply Quote 0
                              • C
                                CheBurashka last edited by

                                да я пробовал отключать, не помогает

                                1 Reply Last reply Reply Quote 0
                                • werter
                                  werter last edited by

                                  Какие адреса зарезервированы IANA как "серые"?
                                  В каком порядке читаются правила fw в pfsense?

                                  Если правильно ответите - решите задачу.

                                  P.s. Я надеюсь, что правила fw , предназначенные для LAN Вы не пытаетесь использовать для WAN ? Правда же?

                                  P.p.s.

                                  что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает

                                  На схеме нет.

                                  Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

                                  Мой вам совет. Узнайте поддерживает ли ваша сетевая VLAN. И если да, то сделайте так, что бы на WAN у вас была нормальная сетевая (броадком, интел). После этого настраивайте на ней VLAN-интерфейсы и рулите правилами fw. Всё.

                                  Да, и то правило ,что я вам говорил - отключите (хотя бы временно).

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    CheBurashka last edited by

                                    сверху-вниз, адреса локалок

                                    почему оставил, так как подсеть на интерфейсе Lan пинговалась из WAN подсети, но не в этом суть, вот прям сейчас отключены эти две галки (богон и приват) на WAN, но так и не пингуется 8.8.8.8 из подсети 192.168.3.0/24

                                    1 Reply Last reply Reply Quote 0
                                    • werter
                                      werter last edited by

                                      Т.е. Вы хотите, чтобы приходящие на WAN со своими VLAN-ми сети имели выход в Интернет через pfsense ?
                                      Или же просто желаете , чтобы VLAN-сети имели доступ\были доступны вашей LAN ?

                                      Что у вас на WAN - белая статика\динамика , серый адрес,  vpn ?

                                      Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

                                      Не ответили. Внимательнее. Это важно!

                                      1 Reply Last reply Reply Quote 0
                                      • C
                                        CheBurashka last edited by

                                        на WAN статика, подсети на WAN не имеют vlan-ов, то есть получается простая (как-бы) задача - на WAN интерфейсе висит сеть .3.0/24, дать этой подсети доступ к внутренней сети на LAN, и доступ в интернет

                                        1 Reply Last reply Reply Quote 0
                                        • C
                                          CheBurashka last edited by

                                          в моей тестовой схеме  между хостом ip .3.3 и pfsense висит cisco в режиме свича (никак не настроенная), а в реале сейчас работает так: провод от провайдера заходит напрямую в шлюз, где правилами iptables всё это разруливается

                                          1 Reply Last reply Reply Quote 0
                                          • C
                                            CheBurashka last edited by

                                            как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

                                            вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

                                            ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….

                                            на всякий случай приложу скрины лога и настройки rules для LAN

                                            ![System logs Firewall.png](/public/imported_attachments/1/System logs Firewall.png)
                                            ![System logs Firewall.png_thumb](/public/imported_attachments/1/System logs Firewall.png_thumb)
                                            ![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
                                            ![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb)

                                            1 Reply Last reply Reply Quote 0
                                            • werter
                                              werter last edited by

                                              на WAN статика

                                              Какая статика - серая или белая ?

                                              как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

                                              Так вы определитесь - есть ли у вас VLANы или нет?

                                              вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

                                              Правило отключили на WAN  (блокирование серых сетей)?
                                              Без указания шлюза ?

                                              ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….
                                              на всякий случай приложу скрины лога и настройки rules для LAN

                                              Выкладывайте\прикладывайте.
                                              И на WAN-е тоже.

                                              1 Reply Last reply Reply Quote 0
                                              • C
                                                CheBurashka last edited by

                                                итак, статика на WAN белая (это на боевом шлюзе в данный момент, ещё раз повторюсь что я делаю сейчас тестовую схему, расположенную за этим боевым шлюзом, то есть типа имитация провайдерской сети, где мой боевой шлюз выполняет роль провайдера и даёт только интернет)

                                                далее по поводу VLAN - в нашей сети вланы не используются, почему изначально я про них говорил, потому что провайдер так обозвал создание связи между удалёнными точками (то есть объединил все порты, связанные с нами, в один VLAN я так думаю, а от нас ничего по части настроек VLAN не требуется (так сказал пров))

                                                вот настройки правил для WAN ещё раз

                                                ![Firewall Rules.png_thumb](/public/imported_attachments/1/Firewall Rules.png_thumb)
                                                ![Firewall Rules.png](/public/imported_attachments/1/Firewall Rules.png)

                                                1 Reply Last reply Reply Quote 0
                                                • C
                                                  CheBurashka last edited by

                                                  вот с дебиана iptables (все комментарии в скрипте - это уже было написано до меня), этот шлюз в данный момент работает, и связь с филиалами есть, я же хочу разобраться со всеми правилами и причесать всё на pfsense

                                                  ###Описание сети
                                                  #описание инета
                                                  INET_IP="87.0.0.0" (это пример)
                                                  INET_IP_10="10.0.105.204" # ИП адрес приватной сети , вида 10.0.105.х для доступа из локальной сети, сделан в виде алиаса для внешней сетевухи
                                                  INET_IP_dacha="192.168.2.9"
                                                  INET_IFACE="eth0"
                                                  
                                                  #описание локалки
                                                  LAN_IP="192.168.0.9"
                                                  LAN_IP_0_0="192.168.0.0/24"
                                                  LAN_IP_10="10.0.105.0/24"
                                                  LAN_IP_dacha="192.168.2.0/24"
                                                  LAN_IFACE="eth2"
                                                  
                                                  LO_IFACE="lo"
                                                  LO_IP="127.0.0.1"
                                                  
                                                  #путь iptables
                                                  IPTABLES="/sbin/iptables"
                                                  
                                                  #загрузка модулей
                                                  /sbin/depmod -a
                                                  /sbin/modprobe ip_tables
                                                  /sbin/modprobe ip_conntrack
                                                  /sbin/modprobe iptable_filter
                                                  /sbin/modprobe iptable_mangle
                                                  /sbin/modprobe iptable_nat
                                                  /sbin/modprobe ipt_LOG
                                                  /sbin/modprobe ipt_limit
                                                  /sbin/modprobe ipt_state
                                                  
                                                  echo "1" > /proc/sys/net/ipv4/ip_forward
                                                  
                                                  #Назначение политик по-умолчанию для системных цепочек.
                                                  $IPTABLES -P INPUT DROP
                                                  $IPTABLES -P OUTPUT DROP
                                                  $IPTABLES -P FORWARD DROP
                                                  
                                                  #создаются все пользовательские цепочки, которые мы будем использовать позже в пределах этой таблицы.
                                                  $IPTABLES -N bad_tcp_packets
                                                  $IPTABLES -N allowed
                                                  $IPTABLES -N tcp_packets
                                                  $IPTABLES -N udp_packets
                                                  $IPTABLES -N icmp_packets
                                                  
                                                  #Эта цепочка предназначена для отфильтровывания пакетов с "неправильными" заголовками и решения ряда других проблем.
                                                  $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
                                                  $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
                                                  $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
                                                  
                                                  #TCP пакет, следуя с интерфейса $INET_IFACE, попадает в цепочку tcp_packets, если пакет следует на разрешенный порт, то после этого проводится дополнительная проверка в цепочке allowed.
                                                  $IPTABLES -A allowed -p TCP --syn -j ACCEPT
                                                  $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
                                                  $IPTABLES -A allowed -p TCP -j DROP
                                                  
                                                  ###Здесь мы указываем, какие порты могут быть доступны из Internet.
                                                  #разрешаем и перекидываем в цепочку allowed для дополнительной проверки пакетов
                                                  $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
                                                  $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
                                                  $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
                                                  $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
                                                  
                                                  #разрешаем
                                                  $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
                                                  $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
                                                  $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
                                                  $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT
                                                  
                                                  #разрешаем
                                                  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
                                                  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
                                                  
                                                  #всё что приходит по tcp перекидывается в цепочку bad_tcp_packets для отсеивания "плохих" пакетов
                                                  $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
                                                  
                                                  $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_0_0 -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_10 -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_dacha -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_10 -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_dacha -j ACCEPT
                                                  
                                                  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_10 -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_dacha -j ACCEPT
                                                  
                                                  $IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
                                                  
                                                  $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -d $INET_IP_10 -m state --state ESTABLISHED,RELATED -j ACCEPT
                                                  $IPTABLES -A INPUT -p ALL -d $INET_IP_dacha -m state --state ESTABLISHED,RELATED -j ACCEPT
                                                  
                                                  $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
                                                  $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
                                                  $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
                                                  $IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets
                                                  $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_0_0 --dport 3128 -j ACCEPT
                                                  $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
                                                  $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT
                                                  $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
                                                  $IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT
                                                  
                                                  $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
                                                  
                                                  $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
                                                  
                                                  $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
                                                  
                                                  $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
                                                  
                                                  $IPTABLES -A FORWARD -s $LAN_IP_10 -d $LAN_IP_0_0 -j ACCEPT
                                                  $IPTABLES -A FORWARD -s $LAN_IP_dacha -d $LAN_IP_0_0 -j ACCEPT
                                                  
                                                  $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
                                                  
                                                  $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
                                                  $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_0_0 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  
                                                  $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
                                                  
                                                   # Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128
                                                  $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_0_0 ! -d $LAN_IP_0_0 --dport 80 -j REDIRECT --to-ports 3128
                                                  $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
                                                  $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
                                                  $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
                                                  $IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
                                                  #$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
                                                  
                                                  # Включаем NAT, чтобы пропускать SSL, DNS, NTP и т.д. запросы:
                                                  #$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE ! -d $LAN_IP_RANGE -j SNAT --to 1.1.1.1
                                                  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
                                                  
                                                  # NAT для сети 10.0.105.x
                                                  $IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_10 -j SNAT --to-source $INET_IP_10
                                                  $IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_dacha -j SNAT --to-source $INET_IP_dacha
                                                  
                                                  # Разрешаем squid'у выходить в инет
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_0_0 --dport 80 -j ACCEPT
                                                  $IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_0_0 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_10 --dport 80 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_dacha --dport 80 -j ACCEPT
                                                  $IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_10 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_dacha --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  
                                                  # И делаем проход для SSL, DNS, NTP:
                                                  $IPTABLES -A FORWARD -p tcp -m tcp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123,443 -j ACCEPT
                                                  $IPTABLES -A FORWARD -p tcp -m tcp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  $IPTABLES -A FORWARD -p udp -m udp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123 -j ACCEPT
                                                  $IPTABLES -A FORWARD -p udp -m udp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
                                                  #
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 995 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 465 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 4800 -j ACCEPT
                                                  $IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 1029 -j ACCEPT
                                                  
                                                  1 Reply Last reply Reply Quote 0
                                                  • werter
                                                    werter last edited by

                                                    1. Удаляете 1-е и 2 последних правила на WAN
                                                    2. Создаете два Vitrual IP для WAN (тип IP alias) - 10.0.105.204/24 и 192.168.2.9/24
                                                    3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
                                                    4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9
                                                    И ставите эти правила выше всех.

                                                    1 Reply Last reply Reply Quote 0
                                                    • C
                                                      CheBurashka last edited by

                                                      Сегодня утром сделал по Вашим пунктам, сбросил pfsense по дефолту всё, заново интерфейсы настроил, на сети 192.168.0.0/24 интернет был, но не было связи с филиалами (10.0.105.0/24 и 192.168.2.0/24)
                                                      Может я где то не правильно указал, или надо было ещё прописать что-то (машину ребутал после настроек)

                                                      ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"

                                                      ![Firewall Rules WAN.png](/public/imported_attachments/1/Firewall Rules WAN.png)
                                                      ![Firewall Rules WAN.png_thumb](/public/imported_attachments/1/Firewall Rules WAN.png_thumb)
                                                      ![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
                                                      ![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb)
                                                      ![Firewall Virtual IP Addresses.png](/public/imported_attachments/1/Firewall Virtual IP Addresses.png)
                                                      ![Firewall Virtual IP Addresses.png_thumb](/public/imported_attachments/1/Firewall Virtual IP Addresses.png_thumb)
                                                      ![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
                                                      ![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
                                                      ![Status System logs Firewall.png](/public/imported_attachments/1/Status System logs Firewall.png)
                                                      ![Status System logs Firewall.png_thumb](/public/imported_attachments/1/Status System logs Firewall.png_thumb)

                                                      1 Reply Last reply Reply Quote 0
                                                      • werter
                                                        werter last edited by

                                                        @CheBurashka:

                                                        ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"

                                                        3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
                                                        4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9

                                                        И ставите эти правила выше всех.

                                                        Посмотрите что я выделил жирным.
                                                        Внимательнее впредь.

                                                        ![2014-12-11 16_18_13-настройка firewall pfsense 2.1.5 - Opera.jpg](/public/imported_attachments/1/2014-12-11 16_18_13-настройка firewall pfsense 2.1.5 - Opera.jpg)
                                                        ![2014-12-11 16_18_13-настройка firewall pfsense 2.1.5 - Opera.jpg_thumb](/public/imported_attachments/1/2014-12-11 16_18_13-настройка firewall pfsense 2.1.5 - Opera.jpg_thumb)
                                                        ![2014-12-11 16_23_23-настройка firewall pfsense 2.1.5.jpg](/public/imported_attachments/1/2014-12-11 16_23_23-настройка firewall pfsense 2.1.5.jpg)
                                                        ![2014-12-11 16_23_23-настройка firewall pfsense 2.1.5.jpg_thumb](/public/imported_attachments/1/2014-12-11 16_23_23-настройка firewall pfsense 2.1.5.jpg_thumb)

                                                        1 Reply Last reply Reply Quote 0
                                                        • C
                                                          CheBurashka last edited by

                                                          нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ

                                                          ![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
                                                          ![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)

                                                          1 Reply Last reply Reply Quote 0
                                                          • werter
                                                            werter last edited by

                                                            И я бы все же 3-е правило на WAN в самый низ поставил.

                                                            1 Reply Last reply Reply Quote 0
                                                            • C
                                                              CheBurashka last edited by

                                                              ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
                                                              в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как)  - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?

                                                              ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек

                                                              ![Proxy server General settings.png_thumb](/public/imported_attachments/1/Proxy server General settings.png_thumb)
                                                              ![Proxy server General settings.png](/public/imported_attachments/1/Proxy server General settings.png)
                                                              ![Proxy server Access control.png](/public/imported_attachments/1/Proxy server Access control.png)
                                                              ![Proxy server Access control.png_thumb](/public/imported_attachments/1/Proxy server Access control.png_thumb)

                                                              1 Reply Last reply Reply Quote 0
                                                              • werter
                                                                werter last edited by

                                                                Последний скрин - выберите и WAN интерфейс  в Proxy Interface

                                                                1 Reply Last reply Reply Quote 0
                                                                • C
                                                                  CheBurashka last edited by

                                                                  ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • werter
                                                                    werter last edited by

                                                                    Попробуйте добавить в Outbond NAT на WAN правила, где в Source будут ваши 10.0.105.0/24 и 192.168.2.0/24,
                                                                    Destination - * , а NAT-ся будет на WAN address. Выкладывайте скрин правил Outbond NAT и смотрите логи fw.

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • C
                                                                      CheBurashka last edited by

                                                                      нет, так не получилось… =( а, нет, получилось после добавления правила в fw (первые две строки на скрине)

                                                                      Итак, спасибо большое за помощь в настройке, хочу узнать с точки зрения "правильности" - всё ли хорошо написано? И, вопрос - если я хочу запретить "всё", кроме необходимых портов, то нужно в fw удалить разрешающие правила на "всё" и добавить на определённые порты, так?

                                                                      ![Firewall NAT Outbound.png](/public/imported_attachments/1/Firewall NAT Outbound.png)
                                                                      ![Firewall NAT Outbound.png_thumb](/public/imported_attachments/1/Firewall NAT Outbound.png_thumb)
                                                                      ![Firewall Rules.png](/public/imported_attachments/1/Firewall Rules.png)
                                                                      ![Firewall Rules.png_thumb](/public/imported_attachments/1/Firewall Rules.png_thumb)
                                                                      ![Firewall Rules LAN.png](/public/imported_attachments/1/Firewall Rules LAN.png)
                                                                      ![Firewall Rules LAN.png_thumb](/public/imported_attachments/1/Firewall Rules LAN.png_thumb)

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • C
                                                                        CheBurashka last edited by

                                                                        Блин, только вот между подсетями 10.0.105.0 и 192.168.2.0 связи нет, (пинги с 10.0.105.207 до 192.168.2.9 проходят, а до других хостов нет. Опять нат что-то похоже, ибо fw пропускает)… вот лог с fw

                                                                        Всё, сделал связь между ними, в нате добавил правила, аналогичные из 192.168.0.0

                                                                        ![Status System logs Firewall.png](/public/imported_attachments/1/Status System logs Firewall.png)
                                                                        ![Status System logs Firewall.png_thumb](/public/imported_attachments/1/Status System logs Firewall.png_thumb)

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • werter
                                                                          werter last edited by

                                                                          Как бы так .

                                                                          ![2014-12-15 16_09_51.jpg](/public/imported_attachments/1/2014-12-15 16_09_51.jpg)
                                                                          ![2014-12-15 16_09_51.jpg_thumb](/public/imported_attachments/1/2014-12-15 16_09_51.jpg_thumb)
                                                                          ![2014-12-15 16_11_44.jpg](/public/imported_attachments/1/2014-12-15 16_11_44.jpg)
                                                                          ![2014-12-15 16_11_44.jpg_thumb](/public/imported_attachments/1/2014-12-15 16_11_44.jpg_thumb)

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • C
                                                                            CheBurashka last edited by

                                                                            ну да, это я понял, к красивому виду приведу, сейчас вот столкнулся, что сбербанк бизнес онлайн не работает (который с флешки запускается, если кто в курсе про них, изначально с ними проблема была что через прокси не хотели работать, напрямую прокидывались в iptables), хотя интернет есть… в логах пока ничего не заметил, но толком ещё и не смотрел, вопчем буду разбираться пока что

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • werter
                                                                              werter last edited by

                                                                              что через прокси не хотели работать

                                                                              Добавьте их адреса\подсети в исключения squid-а (destination addresses)

                                                                              P.s. А разве клиент сбера не по https работает?

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • C
                                                                                CheBurashka last edited by

                                                                                да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • First post
                                                                                  Last post