Ряд вопросов от новичка.
-
Здравствуйте, уважаемые специалисты!
Планирую развернуть pfsense на своей инфраструктуре, но перед внедрением хотел бы проконсультироваться по ряду вопросов.
Вкратце ситуация выглядит следующим образом:
от провайдера подана сеть /28, которая будет приходить на сервер с pfsense. Вторым интерфейсом сервер подключен к свитчу с поддержкой VLAN. Планирую на одном VLAN внутреннего интерфейса поднять обычный NAT и локальную сеть на серых адресах, а на другой VLAN хотел бы подать белые адреса из /28, при этом по ряду причин это должны быть не NAT-еные адреса (например NAT 1:1), а прямые. Для второго VLAN хотелось бы использовать файрвол с модулем pfblocker.Как поднять первый VLAN и настроить локальную сеть - мне в целом понятно, благо мануалов хватает. Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола. Подскажите пожалуйста, возможно ли это, есть ли примеры или мануалы, которые можно было бы взять в качестве отправной точки?
И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.
-
И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.
http://habrahabr.ru/post/249117/ начиная со слов Настраиваем Squid
P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
Надо проверять.P.p.s. Эээ, вопрос. Если у вас рос. провайдер, он и так уже блокирует все запрещенное. Разве нет? Тогда зачем огород городить?
-
P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
Надо проверять.Фу фу фу! геморняк на ровном месте! Они периодически начинают отдавать страницу "данный контент запрещён". Мой тикет у них висит пару лет, говорят "мы вкурсе проблемы". А ничего не меняется.
-
И последний вопрос: есть ли заготовки или готовое решение для pfsense для работы с единым реестром запрещенных сайтов (eais.rkn.gov.ru). Интересует забор выгрузок от оператора реестра и применение их на правилах fw.
http://habrahabr.ru/post/249117/ начиная со слов Настраиваем Squid
P.s. Как вариант - использовать dns-ы Яндекса для этого дела (77.88.8.88, 77.88.8.2 ). Вроде у него должно быть прикручено это дело.
Надо проверять.P.p.s. Эээ, вопрос. Если у вас рос. провайдер, он и так уже блокирует все запрещенное. Разве нет? Тогда зачем огород городить?
От меня требуют этого как от лицензиата по телематике и пд. Блокировками аплинка пока закрываюсь, но поскольку аплинков со временем может стать больше - нужно будет воплощать у себя.
А по первому вопросу ничего не подскажите?
-
Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.
не пойму что вы хотите
-
Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.
не пойму что вы хотите
Хотелось бы, чтобы машина с xx.yy.zz.1 в один из vlan подавала бы сеть xx.yy.zz.2-xx.yy.zz.14 и прикрывала бы эту сеть файрволом. Вариант NAT 1:1 мне не подходит - прикладные протоколы требуют работы на белом адресе. Это возможно?
При этом второй vlan (обычная локалка на серых адресах) так же должна нормально работать.
-
В голову приходят 4 варианта.
1. Подключится к магистральному провайдеру.
2. Натить 1:1 дважды, на двух серверах.
3. Перепроверить свое утверждение относительно невозможности работать на сером адресе.
4. Отказаться от идеи внешнего fw. -
Думаю вопрос правильнее звучал бы так: Провайдер дал мне сеть 93.158.134.0/28, могу ли я средствами PFsense разбить её на две 93.158.134.0/29 и 93.158.134.8/29 ?
-
Вопросы возникают по второму VLAN - проброс адресации без NAT с использованием файрвола.
не пойму что вы хотите
Хотелось бы, чтобы машина с xx.yy.zz.1 в один из vlan подавала бы сеть xx.yy.zz.2-xx.yy.zz.14 и прикрывала бы эту сеть файрволом. Вариант NAT 1:1 мне не подходит - прикладные протоколы требуют работы на белом адресе. Это возможно?
При этом второй vlan (обычная локалка на серых адресах) так же должна нормально работать.
Добый день!
Также не совсем понял как в итоге должно выглядеть.
Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.
К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.
-
Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.
Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.
К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.
Да, подробнее, пожалуйста, как?
Также не совсем понял как в итоге должно выглядеть.
Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп
-
Пусть себе Клиент и хочет белый ip-шник :) Кто же против то?! ;)
Я и написал, что лично мне не понятна цель (хостинг, свои нужны), - есть варианты решения? - есть.
Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.
Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.
Есть задача - подбирается решение, исходя из ресурсов (людские/материальные) и сроков
К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.
Да, подробнее, пожалуйста, как?
Опять же - цели. Если есть желание и возможность фильтровать трафик на одном pf все-таки без проброса белых ip - то почему бы и нет - родительский интерфейс для vlan'ов, к нему назначаем дочерние.
Если же задача в том, что именно фильтровать трафик при коммутации пакетов - тут другое решение, и pfSense тут не поможет (на сколько я знаю).
Также не совсем понял как в итоге должно выглядеть.
Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп
Желание обезопасить себя должно быть закреплено в договоре оказания хостинг-услуг (и это уже и будет тогда вполне легально, если Вы зарегистрированы в качестве поставщика этой услуги и платите налоги), если к Вам приходит 100Мбит, а Вы выдаете клиентам по 2 Мбита по договору, то "какой-то фильтр по скорости и тп" приходится использовать. Тот же виртуальный хостинг, допустим, с использованием гипервизоров и виртуальных машин - все это делается элементарно средствами самого гипервизора: и ограничение по скорости, и фильтрация, и предоставление хоть серого, хоть белого ip.
Все сводится к схеме: цели-средства-результат. Мне непонятны мотивы, о средствах ни слова, но нужен результат. Какой вопрос - такой ответ.
