Техническое задание и решение его с помощ
-
Здравствуйте, уважаемые форумчане, помогите.
Требуется сделать:
1. Шлюз.
2. Фильтрацию трафика (посещаемых страниц) на уровне IP адресов (без внесений изменений в браузер на ПК пользователей).Например, руководителям полный доступ, а рядовым сотрудникам с фильтрацией.
3. Ограничение работы по времени в интернете на уровне IP адресов.Например, определенному IP или диапазону IP с 12 до 13 можно сидеть в Контакте, в другое время нет.
4. Формирование статистики, отчета использования интернета по IP адресу.
5. Ограничение скорости интернета по IP адресу.
6. Удаленное подключение по VPN из дома в офис, так чтобы можно было работать по RDP как будто ты в офисе. Естественно защищенное как минимум паролем.
7. Может еще какой антивирусник, только чтобы скорость интернета не тормозил.Возможно ли это все реализовать в pfSense?
Теперь что я попробовал:
1. Скачал с официального сайта последнюю версию pfSense 2.2.1.
2. Установил на предполагаемый шлюз с двумя сетевыми картами, устанавливал по инструкции http://macrodmin.ru/2011/11/ustanovka-pfsense на жесткий диск без каких-либо виртуализаций.
3. После настройки 2-х сетевых интерфейсов, интернет в LAN есть без ограничений.
4. Далее, все там же http://macrodmin.ru/2012/01/proksi-server-v-pfsense, установил squid и lightsquid. Прокси настроил в режиме Transparent proxy. Опять же в LAN доступ к интернету есть, логи какие-то собираются.
5. Тут интересней. http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
Установил HAVP antivirus и SquidGuard оба автоматом не стартанули, наверно и не должны. Сам автор статьи написал, что у него тоже сразу антивирус не запустился. Перезапускал я шлюз, и ждал полчаса, и вручную пытался его запустить, так и не получилось. ПРИ ЭТОМ так как HAVP не запустился - интернета в LAN не было. Плюнул, удалил этот HAVP из установленных пакетов и интернет появился.
6. Теперь SquidGuard. Все сделал по инструкции, только черные списки не загружал и в параметрах не указывал. А на вкладке Common ACL категории Default access поставил allow. Везде SAVE, потом Enable SquidGuard. Не фига не стартует, только при попытке стартануть останавливает squid. Запускаю в ручную squid. Интернета нет.
Загружаю черные списки по адресу http://www.shallalist.de/Downloads/shallalist.tar.gz и настраиваю параметры как по инструкции. Спискам присваиваю пока whitelist. Default access оставил allow. Везде SAVE, Enable SquidGuard – теперь стартует. Но почему-то если адрес http:// то открывает страницу если https:// - нет.И почему SquidGuard стартует только с черными списками, может я свои страницы хочу добавить, как это сделать.
Может у кого есть нормальные инструкции по настройке заданий, которые я описал в начале. Весь интернет перерыл ))
Схему приблизительной нашей сети прикладываю.
-
5. Тут интересней. http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
Установил HAVP antivirus и SquidGuard оба автоматом не стартанули, наверно и не должны. Сам автор статьи написал, что у него тоже сразу антивирус не запустился. Перезапускал я шлюз, и ждал полчаса, и вручную пытался его запустить, так и не получилось. ПРИ ЭТОМ так как HAVP не запустился - интернета в LAN не было. Плюнул, удалил этот HAVP из установленных пакетов и интернет появился.Настоятельно нерекомендую HAVP - толку - почти 0, а проблем может создать немало . И да, Вы теперь от него избавиться попробуйте (хотя может и пофиксили его отвязку от Squid).
Но почему-то если адрес http:// то открывает страницу если https:// - нет.
А оно и не фильтрует https просто так. Для этого нужен сквид 3.3, подсовывание сертификата клиентам и др. магия.
Просто откройте доступ всем на порт 443\TCP во вне в fw на LAN.И покажите скрин правил fw на LAN
-
Настоятельно нерекомендую HAVP - толку - почти 0
Ага, понял, спасибо.
Просто откройте доступ всем на порт 443\TCP во вне в fw на LAN.
Так и сделал страницы теперь все открываются. Разбираюсь дальше.