Ряд вопросов от новичка.



  • Здравствуйте, уважаемые специалисты!

    Планирую развернуть pfsense на своей инфраструктуре, но перед внедрением хотел бы проконсультироваться по ряду вопросов.

    Вкратце ситуация выглядит следующим образом:
    от провайдера подана сеть /28, которая будет приходить на сервер с pfsense. Вторым интерфейсом сервер подключен к свитчу с поддержкой VLAN. Планирую на одном VLAN внутреннего интерфейса поднять обычный NAT и локальную сеть на серых адресах, а на другой VLAN хотел бы подать белые адреса из /28, при этом по ряду причин это должны быть не NAT-еные адреса (например NAT 1:1), а прямые. Для второго VLAN хотелось бы использовать файрвол с модулем pfblocker.

    Как поднять первый VLAN и настроить локальную сеть - мне в целом понятно, благо мануалов хватает. Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола. Подскажите пожалуйста, возможно ли это, есть ли примеры или мануалы, которые можно было бы взять в качестве отправной точки?

    И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.



  • И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.

    http://habrahabr.ru/post/249117/ начиная со слов Настраиваем Squid

    P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
    Надо проверять.

    P.p.s. Эээ, вопрос. Если у вас рос. провайдер, он и так уже блокирует все запрещенное. Разве нет? Тогда зачем огород городить?



  • @werter:

    P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
    Надо проверять.

    Фу фу фу! геморняк на ровном месте! Они периодически начинают отдавать страницу "данный контент запрещён". Мой тикет у них висит пару лет, говорят "мы вкурсе проблемы". А ничего не меняется.



  • @werter:

    И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.

    http://habrahabr.ru/post/249117/ начиная со слов Настраиваем Squid

    P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
    Надо проверять.

    P.p.s. Эээ, вопрос. Если у вас рос. провайдер, он и так уже блокирует все запрещенное. Разве нет? Тогда зачем огород городить?

    От меня требуют этого как от лицензиата по телематике и пд. Блокировками аплинка пока закрываюсь, но поскольку аплинков со временем может стать больше - нужно будет воплощать у себя.

    А по первому вопросу ничего не подскажите?



  • Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.

    не пойму что вы хотите



  • @derwin:

    Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.

    не пойму что вы хотите

    Хотелось бы, чтобы машина с xx.yy.zz.1 в один из vlan подавала бы сеть xx.yy.zz.2-xx.yy.zz.14 и прикрывала бы эту сеть файрволом. Вариант NAT 1:1 мне не подходит - прикладные протоколы требуют работы на белом адресе. Это возможно?

    При этом второй vlan (обычная локалка на серых адресах) так же должна нормально работать.



  • В голову  приходят 4 варианта.
    1. Подключится к магистральному провайдеру.
    2. Натить 1:1 дважды, на двух серверах.
    3. Перепроверить свое утверждение относительно невозможности работать на сером адресе.
    4. Отказаться от идеи внешнего fw.



  • Думаю вопрос правильнее звучал бы так: Провайдер дал мне сеть 93.158.134.0/28, могу ли я средствами PFsense разбить её на две 93.158.134.0/29 и 93.158.134.8/29 ?



  • @user0403:

    @derwin:

    Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.

    не пойму что вы хотите

    Хотелось бы, чтобы машина с xx.yy.zz.1 в один из vlan подавала бы сеть xx.yy.zz.2-xx.yy.zz.14 и прикрывала бы эту сеть файрволом. Вариант NAT 1:1 мне не подходит - прикладные протоколы требуют работы на белом адресе. Это возможно?

    При этом второй vlan (обычная локалка на серых адресах) так же должна нормально работать.

    Добый день!

    Также не совсем понял как в итоге должно выглядеть.

    Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

    К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.



  • @dima_k:

    Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

    Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.

    @dima_k:

    К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

    Да, подробнее, пожалуйста, как?

    @dima_k:

    Также не совсем понял как в итоге должно выглядеть.

    Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп



  • Пусть себе Клиент и хочет белый ip-шник  :) Кто же против то?!  ;)

    Я и написал, что лично мне не понятна цель (хостинг, свои нужны), - есть варианты решения? - есть.

    @Scodezan:

    @dima_k:

    Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

    Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.

    Есть задача - подбирается решение, исходя из ресурсов (людские/материальные) и сроков

    @Scodezan:

    @dima_k:

    К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

    Да, подробнее, пожалуйста, как?

    Опять же - цели. Если есть желание и возможность фильтровать трафик на одном pf все-таки без проброса белых ip - то почему бы и нет - родительский интерфейс для vlan'ов, к нему назначаем дочерние.

    Если же задача в том, что именно фильтровать трафик при коммутации пакетов - тут другое решение, и pfSense тут не поможет (на сколько я знаю).

    @Scodezan:

    @dima_k:

    Также не совсем понял как в итоге должно выглядеть.

    Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп

    Желание обезопасить себя должно быть закреплено в договоре оказания хостинг-услуг (и это уже и будет тогда вполне легально, если Вы зарегистрированы в качестве поставщика этой услуги и платите налоги), если к Вам приходит 100Мбит, а Вы выдаете клиентам по 2 Мбита по договору, то "какой-то фильтр по скорости и тп" приходится использовать. Тот же виртуальный хостинг, допустим, с использованием гипервизоров и виртуальных машин - все это делается элементарно средствами самого гипервизора: и ограничение по скорости, и фильтрация, и предоставление хоть серого, хоть белого ip.

    Все сводится к схеме: цели-средства-результат. Мне непонятны мотивы, о средствах ни слова, но нужен результат. Какой вопрос - такой ответ.