Техническое задание и решение его с помощ



  • Здравствуйте, уважаемые форумчане, помогите.

    Требуется сделать:
    1. Шлюз.
    2. Фильтрацию трафика (посещаемых страниц) на уровне IP адресов (без внесений изменений в браузер на ПК пользователей).Например, руководителям полный доступ, а рядовым сотрудникам с фильтрацией.
    3. Ограничение работы по времени в интернете на уровне IP адресов.Например, определенному IP или диапазону IP с 12 до 13 можно сидеть в Контакте, в другое время нет.
    4. Формирование статистики, отчета использования интернета по IP адресу.
    5. Ограничение скорости интернета по IP адресу.
    6. Удаленное подключение по VPN из дома в офис, так чтобы можно было работать по RDP как будто ты в офисе. Естественно защищенное как минимум паролем.
    7. Может еще какой антивирусник, только чтобы скорость интернета не тормозил.

    Возможно ли это все реализовать в pfSense?

    Теперь что я попробовал:

    1. Скачал с официального сайта последнюю версию pfSense 2.2.1.
    2. Установил на предполагаемый шлюз с двумя сетевыми картами, устанавливал по инструкции http://macrodmin.ru/2011/11/ustanovka-pfsense на жесткий диск без каких-либо виртуализаций.
    3. После настройки 2-х сетевых интерфейсов, интернет в LAN есть без ограничений.
    4. Далее, все там же http://macrodmin.ru/2012/01/proksi-server-v-pfsense, установил squid и lightsquid. Прокси настроил в режиме Transparent proxy. Опять же в LAN доступ к интернету есть, логи какие-то собираются.
    5. Тут интересней. http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
    Установил HAVP antivirus и SquidGuard оба автоматом не стартанули, наверно и не должны. Сам автор статьи написал, что у него тоже сразу антивирус не запустился. Перезапускал я шлюз, и ждал полчаса, и вручную пытался его запустить, так и не получилось. ПРИ ЭТОМ так как HAVP не запустился - интернета в LAN не было. Плюнул, удалил этот HAVP из установленных пакетов и интернет появился.
    6. Теперь SquidGuard. Все сделал по инструкции, только черные списки не загружал и в параметрах не указывал. А на вкладке Common ACL категории Default access поставил allow. Везде SAVE, потом Enable SquidGuard. Не фига не стартует, только при попытке стартануть останавливает squid. Запускаю в ручную squid. Интернета нет.
    Загружаю черные списки по адресу http://www.shallalist.de/Downloads/shallalist.tar.gz и настраиваю параметры как по инструкции. Спискам присваиваю пока whitelist. Default access оставил allow. Везде SAVE, Enable SquidGuard – теперь стартует. Но почему-то если адрес http:// то открывает страницу если https:// - нет.

    И почему  SquidGuard стартует только с черными списками, может я свои страницы хочу добавить, как это сделать.
    Может у кого есть нормальные инструкции по настройке заданий, которые я описал в начале. Весь интернет перерыл ))
    Схему приблизительной нашей сети прикладываю.



  • 5. Тут интересней. http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
    Установил HAVP antivirus и SquidGuard оба автоматом не стартанули, наверно и не должны. Сам автор статьи написал, что у него тоже сразу антивирус не запустился. Перезапускал я шлюз, и ждал полчаса, и вручную пытался его запустить, так и не получилось. ПРИ ЭТОМ так как HAVP не запустился - интернета в LAN не было. Плюнул, удалил этот HAVP из установленных пакетов и интернет появился.

    Настоятельно нерекомендую HAVP -  толку - почти 0, а проблем может создать немало . И да,  Вы теперь от него избавиться попробуйте (хотя может и пофиксили его отвязку от Squid).

    Но почему-то если адрес http:// то открывает страницу если https:// - нет.

    А оно и не фильтрует https просто так. Для этого нужен сквид 3.3, подсовывание сертификата клиентам и др. магия.
    Просто откройте доступ всем на порт 443\TCP во вне в fw на LAN.

    И покажите скрин правил fw на LAN



  • Настоятельно нерекомендую HAVP -  толку - почти 0

    Ага, понял, спасибо.

    Просто откройте доступ всем на порт 443\TCP во вне в fw на LAN.

    Так и сделал страницы теперь все открываются. Разбираюсь дальше.


Log in to reply