Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Ряд вопросов от новичка.

    Russian
    5
    11
    1556
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • U
      user0403 last edited by

      Здравствуйте, уважаемые специалисты!

      Планирую развернуть pfsense на своей инфраструктуре, но перед внедрением хотел бы проконсультироваться по ряду вопросов.

      Вкратце ситуация выглядит следующим образом:
      от провайдера подана сеть /28, которая будет приходить на сервер с pfsense. Вторым интерфейсом сервер подключен к свитчу с поддержкой VLAN. Планирую на одном VLAN внутреннего интерфейса поднять обычный NAT и локальную сеть на серых адресах, а на другой VLAN хотел бы подать белые адреса из /28, при этом по ряду причин это должны быть не NAT-еные адреса (например NAT 1:1), а прямые. Для второго VLAN хотелось бы использовать файрвол с модулем pfblocker.

      Как поднять первый VLAN и настроить локальную сеть - мне в целом понятно, благо мануалов хватает. Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола. Подскажите пожалуйста, возможно ли это, есть ли примеры или мануалы, которые можно было бы взять в качестве отправной точки?

      И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.

        http://habrahabr.ru/post/249117/ начиная со слов Настраиваем Squid

        P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
        Надо проверять.

        P.p.s. Эээ, вопрос. Если у вас рос. провайдер, он и так уже блокирует все запрещенное. Разве нет? Тогда зачем огород городить?

        1 Reply Last reply Reply Quote 0
        • D
          derwin last edited by

          @werter:

          P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
          Надо проверять.

          Фу фу фу! геморняк на ровном месте! Они периодически начинают отдавать страницу "данный контент запрещён". Мой тикет у них висит пару лет, говорят "мы вкурсе проблемы". А ничего не меняется.

          1 Reply Last reply Reply Quote 0
          • U
            user0403 last edited by

            @werter:

            И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.

            http://habrahabr.ru/post/249117/ начиная со слов Настраиваем Squid

            P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
            Надо проверять.

            P.p.s. Эээ, вопрос. Если у вас рос. провайдер, он и так уже блокирует все запрещенное. Разве нет? Тогда зачем огород городить?

            От меня требуют этого как от лицензиата по телематике и пд. Блокировками аплинка пока закрываюсь, но поскольку аплинков со временем может стать больше - нужно будет воплощать у себя.

            А по первому вопросу ничего не подскажите?

            1 Reply Last reply Reply Quote 0
            • D
              derwin last edited by

              Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.

              не пойму что вы хотите

              1 Reply Last reply Reply Quote 0
              • U
                user0403 last edited by

                @derwin:

                Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.

                не пойму что вы хотите

                Хотелось бы, чтобы машина с xx.yy.zz.1 в один из vlan подавала бы сеть xx.yy.zz.2-xx.yy.zz.14 и прикрывала бы эту сеть файрволом. Вариант NAT 1:1 мне не подходит - прикладные протоколы требуют работы на белом адресе. Это возможно?

                При этом второй vlan (обычная локалка на серых адресах) так же должна нормально работать.

                1 Reply Last reply Reply Quote 0
                • S
                  Scodezan last edited by

                  В голову  приходят 4 варианта.
                  1. Подключится к магистральному провайдеру.
                  2. Натить 1:1 дважды, на двух серверах.
                  3. Перепроверить свое утверждение относительно невозможности работать на сером адресе.
                  4. Отказаться от идеи внешнего fw.

                  1 Reply Last reply Reply Quote 0
                  • S
                    Scodezan last edited by

                    Думаю вопрос правильнее звучал бы так: Провайдер дал мне сеть 93.158.134.0/28, могу ли я средствами PFsense разбить её на две 93.158.134.0/29 и 93.158.134.8/29 ?

                    1 Reply Last reply Reply Quote 0
                    • D
                      dima_k last edited by

                      @user0403:

                      @derwin:

                      Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.

                      не пойму что вы хотите

                      Хотелось бы, чтобы машина с xx.yy.zz.1 в один из vlan подавала бы сеть xx.yy.zz.2-xx.yy.zz.14 и прикрывала бы эту сеть файрволом. Вариант NAT 1:1 мне не подходит - прикладные протоколы требуют работы на белом адресе. Это возможно?

                      При этом второй vlan (обычная локалка на серых адресах) так же должна нормально работать.

                      Добый день!

                      Также не совсем понял как в итоге должно выглядеть.

                      Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

                      К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

                      1 Reply Last reply Reply Quote 0
                      • S
                        Scodezan last edited by

                        @dima_k:

                        Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

                        Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.

                        @dima_k:

                        К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

                        Да, подробнее, пожалуйста, как?

                        @dima_k:

                        Также не совсем понял как в итоге должно выглядеть.

                        Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп

                        1 Reply Last reply Reply Quote 0
                        • D
                          dima_k last edited by

                          Пусть себе Клиент и хочет белый ip-шник  :) Кто же против то?!  ;)

                          Я и написал, что лично мне не понятна цель (хостинг, свои нужны), - есть варианты решения? - есть.

                          @Scodezan:

                          @dima_k:

                          Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

                          Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.

                          Есть задача - подбирается решение, исходя из ресурсов (людские/материальные) и сроков

                          @Scodezan:

                          @dima_k:

                          К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

                          Да, подробнее, пожалуйста, как?

                          Опять же - цели. Если есть желание и возможность фильтровать трафик на одном pf все-таки без проброса белых ip - то почему бы и нет - родительский интерфейс для vlan'ов, к нему назначаем дочерние.

                          Если же задача в том, что именно фильтровать трафик при коммутации пакетов - тут другое решение, и pfSense тут не поможет (на сколько я знаю).

                          @Scodezan:

                          @dima_k:

                          Также не совсем понял как в итоге должно выглядеть.

                          Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп

                          Желание обезопасить себя должно быть закреплено в договоре оказания хостинг-услуг (и это уже и будет тогда вполне легально, если Вы зарегистрированы в качестве поставщика этой услуги и платите налоги), если к Вам приходит 100Мбит, а Вы выдаете клиентам по 2 Мбита по договору, то "какой-то фильтр по скорости и тп" приходится использовать. Тот же виртуальный хостинг, допустим, с использованием гипервизоров и виртуальных машин - все это делается элементарно средствами самого гипервизора: и ограничение по скорости, и фильтрация, и предоставление хоть серого, хоть белого ip.

                          Все сводится к схеме: цели-средства-результат. Мне непонятны мотивы, о средствах ни слова, но нужен результат. Какой вопрос - такой ответ.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post