Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Не могу настроить контроль подсети Server 2008R2+Pfsense2.1.5+squid+webfilt

    Scheduled Pinned Locked Moved Russian
    12 Posts 4 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      MoHroJI
      last edited by

      Здравствуйте форумчане! В общем опишу ситуацию:
      Имеется связка Server 2008R2+Pfsense2.1.5+squid+webfilter. Настроил шлюз, прозрачный прокси и вебфильтр. Инет приходит от роутера провайдера и на сервак(Pfsense2.1.5 на VM Virtualbox) идет по DHCP. Получает адрес 192.168.1.104(сам роутер имеет адрес 192.168.1.1), на Win Server 2008R2 по виртуальному адаптеру приходит инет по DHCP от Pfsense. Шлюз Pfsense имеет адрес 192.168.56.1, собственно подсеть 192.168.56.0/24. А уже Win Server раздает интернет через шлюз 192.168.0.1,  подсеть 192.168.0.0/24 на 50 компов. DCHP на адаптере выключен, на каждой машине сеть настроена ручками. Все компы на ХР и Win7. Проблема в том что Pfsense видет только статистику, да и управлять может только трафиком самого сервака(адрес 192.168.56.1). То есть никакого контроля за подсетью по отдельности нет, только общего трафика, а мне необходимо разграничить скорость, фильтрацию и вести статистику каждого компах, xотябы по IP(если это возможно с прозрачным прокси). Помогите пожалуйста одолеть FreeBSD, так как нету у меня опыта работы с ним.
      PS: Если что не пинайте меня. До меня все было настроено кроме Pfsense2.1.5, и трогать это нельзя(пробовал, отваливается все к чертям, ели вернул на место). И купить оборудование не предлагайте денег на него нет…

      1 Reply Last reply Reply Quote 0
      • F
        fvf
        last edited by

        Судя по описанию, у Вас элементарная схема. Не городите городушки с виртуалками, возмите старенький пентиум три и 2 сетевухи триком905 например. Поставьте pf, настройте на лане 192.168.0.1/24 и ставьте заместо win сервера. Одолевать FreeBSD для этого не надо.

        1 Reply Last reply Reply Quote 0
        • M
          MoHroJI
          last edited by

          Была такая мысль… Но вот тока айпи сервера(192.168.0.1) нельзя трогать((( на него все компы завязаны. рухнет все не разгребу...

          1 Reply Last reply Reply Quote 0
          • F
            fvf
            last edited by

            @MoHroJI:

            Была такая мысль… Но вот тока айпи сервера(192.168.0.1) нельзя трогать((( на него все компы завязаны. рухнет все не разгребу...

            Что рухнет? Как завязаны? Виндовый сервер просто выкидываешь. Или на нем что то ещё важное вертится?

            1 Reply Last reply Reply Quote 0
            • M
              MoHroJI
              last edited by

              Удаленный доступ для 1С-ки, Методкабинет удаленный…

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Рисуйте схему.

                1 Reply Last reply Reply Quote 0
                • F
                  fvf
                  last edited by

                  @MoHroJI:

                  Удаленный доступ для 1С-ки, Методкабинет удаленный…

                  А кстати интересно, я себе представил такую ситуацию. Есть полудохлый виндовый сервер (192.168.0.1) непонятно с какими сервисами, одновременно являющийся шлюзом в инет и куча компов со static IP. 
                  Можно ли поставить на его место pf(192.168.0.1)? Притом этот сервак поставить в сети рядом (192.168.0.2 например) и все запросы на 192.168.0.1 на порты этих непонятных сервисов, редиректить на этот рядом стоящий полуживой сервак (192.168.0.2)?

                  Т.е. что то типа портмаппига, только не wan->lan, а lan->lan

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    А кстати интересно, я себе представил такую ситуацию. Есть полудохлый виндовый сервер (192.168.0.1) непонятно с какими сервисами, одновременно

                    являющийся шлюзом в инет и куча компов со static IP. 
                    Можно ли поставить на его место pf(192.168.0.1)? Притом этот сервак поставить в сети рядом (192.168.0.2 например) и все запросы на 192.168.0.1 на порты этих непонятных сервисов, редиректить на этот рядом стоящий полуживой сервак (192.168.0.2)?

                    Proxy Arp ?

                    http://xgu.ru/wiki/Proxy_ARP
                    http://lutung.lib.ums.ac.id/freebsd/pfSense/docs/special_nat_configuration_with_pfsense.php.html

                    1 Reply Last reply Reply Quote 0
                    • W
                      WY6EPT
                      last edited by

                      можно, но чревато траблами. портфорвадингом поиграть =)  так днс прокидываю от внутреннего хостинга ( он же днс сервером робит)

                      судя по описанию автора у него на вин сервере нат работает =)

                      а вообще дяденька рулишь так.
                      ставишь 192.168.0.2 (для примера) pfsense
                      на 50 машинах ( если статика) пробегаешь и меняешь шлюз, если DHCP бегать не надо, а на сервере поменять адрес шлюза выдаваемого.
                      на сервере вырубаешь левые сетевухи и прописываешь на внутренней сетевухе шлюзом pfs.
                      а дальше прокидываешь с прокси порты которые тебе надо на свой сервак.
                      и всё в шоколаде

                      странные админы нынче пошли, я конечно понимаю, что "Работает, не торогай" золотое правило, но представителям нашей профессии платят за то, что бы всё работало, а не на соплях держалось..

                      1 Reply Last reply Reply Quote 0
                      • F
                        fvf
                        last edited by

                        @WY6EPT:

                        а вообще дяденька рулишь так.
                        ставишь 192.168.0.2 (для примера) pfsense
                        на 50 машинах ( если статика) пробегаешь и меняешь шлюз, если DHCP бегать не надо, а на сервере поменять адрес шлюза выдаваемого.

                        В том то и прикол, что DHCP нет… а если допустим машин не 50 а 200 (чисто гипотетически). Я понимаю, что звучит как кошмар, но вот представь такую ситуацию. И надо, чтобы завтра все работало. Виндовый сервер, являющийся шлюзом, рушится от первого прикосновения - никакие настройки менять нельзя, никакие керио ставить тоже.
                        На 200 клиентах со static ip тоже стоит жесткая ссылка на 192.168.0.1 на допустим 80 и 345 порты этого полудохлого сервера. IP на сервере поменять можно, но тогда ссылки у клиентов перестанут работать.
                        Можно ли заместо этого полудохлого сервера поставить pfsense, а полудохлика поставить в сторонку с другим айпишником? Притом средствами pf переадресовывать запросты на 80 и 345 порты на этот стоящий в стороне сервер?

                        Потом уже, в течение месяца, можно потихоньку пробежать и поставить везде dhcp и поменять ссылку, но пока...

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          2 fvf

                          Ок, повторюсь.

                          Proxy Arp ?

                          http://xgu.ru/wiki/Proxy_ARP
                          http://lutung.lib.ums.ac.id/freebsd/pfSense/docs/special_nat_configuration_with_pfsense.php.html

                          1 Reply Last reply Reply Quote 0
                          • M
                            MoHroJI
                            last edited by

                            У меня появилась идея! А что если добавить в виртуальную машину сетевой мост и назначить ту сетевуху коротая раздаёт интернет подсети, ну и прописать ей все настройки в Pfsense. Только вот будет ли работать потом удаленка из подсети на сервак….

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.