Блокировка части IPv4 адресов по белому списк



  • Добрый день!

    Есть pfsense 2.1.5-RELEASE (i386), настроенный как основной шлюз и раздающий интернет по школе.
    Нужно ограничить часть IPv4 (192.168.0.51 - 192.168.0.254) по белому списку и по 443 порту, а другой части (192.168.0.2 - 192.168.0.50) разрешить полный доступ.



  • Если белый список - это IP адреса, то делайте ALIAS и пользуйтесь правилами файрвола.
    Если нужно ограничить по URL - ставьте прокси и прокси-фильтр и делайте свои списки.
    Плюс фильтром запрещайте все, что мимо прокси.

    Ну а допущенным все разрешайте.



  • В принципе, я так и сделал, только встает проблема с DHCP.
    Я сделал раздачу по DHCP c 192.168.0.51 - 192.168.0.254 (фильтрующиеся по белым спискам и 443 порту),
    а 192.168.0.2 - 192.168.0.50 (не фильтруемые) приходится прописывать в ручную.
    Можно ли как то от этого (ручного ввода) избавиться?



  • @sullen:

    В принципе, я так и сделал, только встает проблема с DHCP.
    Я сделал раздачу по DHCP c 192.168.0.51 - 192.168.0.254 (фильтрующиеся по белым спискам и 443 порту),
    а 192.168.0.2 - 192.168.0.50 (не фильтруемые) приходится прописывать в ручную.
    Можно ли как то от этого (ручного ввода) избавиться?

    Совсем от ручного ввода не избавиться.
    Придется 1 раз назначить адреса из диапазона 192.168.0.2 - 192.168.0.50 в Services: DHCP server или в Status: DHCP leases



  • Я бы еще принудительно выдавал адреса DNS от Яндекса - фильтрация порно и etc - http://dns.yandex.ru/ : 77.88.8.7 , 77.88.8.3
    И сделал бы так правилами nat\fw , чтобы даже если человек принудительно выставлял у себя в настройках др. адреса DNS - форвардилось бы все равно на DNS-ы от Яндекса. Это бы избавило от многих проблем и вопросов со стороны рук-ва.