Не могу настроить контроль подсети Server 2008R2+Pfsense2.1.5+squid+webfilt



  • Здравствуйте форумчане! В общем опишу ситуацию:
    Имеется связка Server 2008R2+Pfsense2.1.5+squid+webfilter. Настроил шлюз, прозрачный прокси и вебфильтр. Инет приходит от роутера провайдера и на сервак(Pfsense2.1.5 на VM Virtualbox) идет по DHCP. Получает адрес 192.168.1.104(сам роутер имеет адрес 192.168.1.1), на Win Server 2008R2 по виртуальному адаптеру приходит инет по DHCP от Pfsense. Шлюз Pfsense имеет адрес 192.168.56.1, собственно подсеть 192.168.56.0/24. А уже Win Server раздает интернет через шлюз 192.168.0.1,  подсеть 192.168.0.0/24 на 50 компов. DCHP на адаптере выключен, на каждой машине сеть настроена ручками. Все компы на ХР и Win7. Проблема в том что Pfsense видет только статистику, да и управлять может только трафиком самого сервака(адрес 192.168.56.1). То есть никакого контроля за подсетью по отдельности нет, только общего трафика, а мне необходимо разграничить скорость, фильтрацию и вести статистику каждого компах, xотябы по IP(если это возможно с прозрачным прокси). Помогите пожалуйста одолеть FreeBSD, так как нету у меня опыта работы с ним.
    PS: Если что не пинайте меня. До меня все было настроено кроме Pfsense2.1.5, и трогать это нельзя(пробовал, отваливается все к чертям, ели вернул на место). И купить оборудование не предлагайте денег на него нет…



  • Судя по описанию, у Вас элементарная схема. Не городите городушки с виртуалками, возмите старенький пентиум три и 2 сетевухи триком905 например. Поставьте pf, настройте на лане 192.168.0.1/24 и ставьте заместо win сервера. Одолевать FreeBSD для этого не надо.



  • Была такая мысль… Но вот тока айпи сервера(192.168.0.1) нельзя трогать((( на него все компы завязаны. рухнет все не разгребу...



  • @MoHroJI:

    Была такая мысль… Но вот тока айпи сервера(192.168.0.1) нельзя трогать((( на него все компы завязаны. рухнет все не разгребу...

    Что рухнет? Как завязаны? Виндовый сервер просто выкидываешь. Или на нем что то ещё важное вертится?



  • Удаленный доступ для 1С-ки, Методкабинет удаленный…



  • Рисуйте схему.



  • @MoHroJI:

    Удаленный доступ для 1С-ки, Методкабинет удаленный…

    А кстати интересно, я себе представил такую ситуацию. Есть полудохлый виндовый сервер (192.168.0.1) непонятно с какими сервисами, одновременно являющийся шлюзом в инет и куча компов со static IP. 
    Можно ли поставить на его место pf(192.168.0.1)? Притом этот сервак поставить в сети рядом (192.168.0.2 например) и все запросы на 192.168.0.1 на порты этих непонятных сервисов, редиректить на этот рядом стоящий полуживой сервак (192.168.0.2)?

    Т.е. что то типа портмаппига, только не wan->lan, а lan->lan



  • А кстати интересно, я себе представил такую ситуацию. Есть полудохлый виндовый сервер (192.168.0.1) непонятно с какими сервисами, одновременно

    являющийся шлюзом в инет и куча компов со static IP. 
    Можно ли поставить на его место pf(192.168.0.1)? Притом этот сервак поставить в сети рядом (192.168.0.2 например) и все запросы на 192.168.0.1 на порты этих непонятных сервисов, редиректить на этот рядом стоящий полуживой сервак (192.168.0.2)?

    Proxy Arp ?

    http://xgu.ru/wiki/Proxy_ARP
    http://lutung.lib.ums.ac.id/freebsd/pfSense/docs/special_nat_configuration_with_pfsense.php.html



  • можно, но чревато траблами. портфорвадингом поиграть =)  так днс прокидываю от внутреннего хостинга ( он же днс сервером робит)

    судя по описанию автора у него на вин сервере нат работает =)

    а вообще дяденька рулишь так.
    ставишь 192.168.0.2 (для примера) pfsense
    на 50 машинах ( если статика) пробегаешь и меняешь шлюз, если DHCP бегать не надо, а на сервере поменять адрес шлюза выдаваемого.
    на сервере вырубаешь левые сетевухи и прописываешь на внутренней сетевухе шлюзом pfs.
    а дальше прокидываешь с прокси порты которые тебе надо на свой сервак.
    и всё в шоколаде

    странные админы нынче пошли, я конечно понимаю, что "Работает, не торогай" золотое правило, но представителям нашей профессии платят за то, что бы всё работало, а не на соплях держалось..



  • @WY6EPT:

    а вообще дяденька рулишь так.
    ставишь 192.168.0.2 (для примера) pfsense
    на 50 машинах ( если статика) пробегаешь и меняешь шлюз, если DHCP бегать не надо, а на сервере поменять адрес шлюза выдаваемого.

    В том то и прикол, что DHCP нет… а если допустим машин не 50 а 200 (чисто гипотетически). Я понимаю, что звучит как кошмар, но вот представь такую ситуацию. И надо, чтобы завтра все работало. Виндовый сервер, являющийся шлюзом, рушится от первого прикосновения - никакие настройки менять нельзя, никакие керио ставить тоже.
    На 200 клиентах со static ip тоже стоит жесткая ссылка на 192.168.0.1 на допустим 80 и 345 порты этого полудохлого сервера. IP на сервере поменять можно, но тогда ссылки у клиентов перестанут работать.
    Можно ли заместо этого полудохлого сервера поставить pfsense, а полудохлика поставить в сторонку с другим айпишником? Притом средствами pf переадресовывать запросты на 80 и 345 порты на этот стоящий в стороне сервер?

    Потом уже, в течение месяца, можно потихоньку пробежать и поставить везде dhcp и поменять ссылку, но пока...





  • У меня появилась идея! А что если добавить в виртуальную машину сетевой мост и назначить ту сетевуху коротая раздаёт интернет подсети, ну и прописать ей все настройки в Pfsense. Только вот будет ли работать потом удаленка из подсети на сервак….