4. Проблемма с правилами как решить?

Проблемма с правилами как решить?

  • J

    Установил PFsense 2.1.5 (х64), необходимая задача

    1. Установить прокси сервер SQUD 2.7 не прозрачный с авторизацией по пользователям (что я и сделал)
    2. Создать Альясы  vip (куда угодно),  обычные пользователи (стандартные порты) что я и сделал
    3. Пробросить порты на почтовик (Почтовик в локальной сети).
      У меня  несколько подсетей  192.168.1.0, 192.168.2.0, 192.168.3.0 все они vilan созданные на маршрутизаторе L3 d-link dgs-3312, между подсетями связь есть, в инет ч/з проксик тоже все чудесно ходят, но есть некий народ которому необходимо дать полный доступ. Создав альяс я поместил туда ip адреса из разных подсетей интересно что из первой сети без регистрации ходит а из других не пускает. PFsense находится в первой подсети. Прошу не решать мою задачу а дать правильное направление, понимаю что дело в правилах, но как их одолеть?












    0
  • J

    Вот нашёл топик, не мой ли это случай ? https://forum.pfsense.org/index.php?topic=79984.0

    0
  • D

    Прокси PFSense по умолчанию разрешает доступ к себе только для подсети интерфейса, на котором он принимает соединения (подсеть LAN).
    Попробуйте добавить остальные подсети в Access Control в Access Control.

    0
  • J

    В SQUD я прописал подсети, через него всё ходит а вот мимо него нет

    0
  • R

    @John_PFsense:

    В SQUD я прописал подсети, через него всё ходит а вот мимо него нет

    У вас NAT кривой. Первое правило надо изменить на:

    WAN 192.168.0.0/16 * * * WAN address * NO

    Третье - не нужно

    0
  • J

    2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?

    0
  • D

    @John_PFsense:

    2 и 3 правило создалось автоматом. Хотелось бы знать, зачем такой диапазон адресов? Может прописать необходимые подсети?

    Ну сделайте отдельно для каждой подсети NAT на подсеть /24. Можете вообще ALIAS на используемые подсети сделать и написать одним правилом.
    Upd
    Алиас у Вас кстати уже есть - LanNetwork.

    0
  • J

    Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам. Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0) и то правило которое вы назвали кривым, прокинуть доступ из вне до PFsense не получилось.  Да весёлые у меня выходные предстоят :)




    0
  • W

    Попробую сделать вот так, мне необходимо дать инет в обход проксика определённым ip, так сказать vip персонам.

    1. Это делается в настройках Squid.

    2. Можете объяснить первое правило на Вашем скрине NAT  (Outbound)?

    3. Покажите скрин правил fw на WAN.

    0
  • J

    Мне очень хотелось бы знать где в squid это делается?


    0
  • D

    Здесь: http://iskatel.ixrad.ru/images/pfsense/pkg_squid_general.png
    Bypass proxy for these source IP's

    0
  • J

    Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!

    0
  • W

    Извиняюсь что ввёл в заблуждение у меня до PFsense стоит Mikrotik (оборудование провайдера с подсетью 192.168.0.0)

    Если это не wi-fi , то можно ли обойтись без Микротика ? Пускай pf будет самостоятельным и единственным.

    прокинуть доступ из вне до PFsense не получилось.

    И не получится. Для это надо на Микротике порты пробрасывать на WAN pfsense. Двойной NAT получается.

    0
  • J

    Почему не поучится? На микротике порты проброшены, у меня на данный момент старый проксик работает так. А PFsense готовлю на замену. Вот только как это сделать пока не знаю.

    0
  • D

    @John_PFsense:

    Я же писал, что у меня не прозрачный прокси, а с авторизацией!!!

    Ну извиняйте, не углядел.
    Тогда всего делов-то - рулите правилами файрвола, и в браузерах випам отключите прокси.

    Upd.
    Не мучайте свои правила NAT.
    Сделайте одним правилом Src=Lansubnet (alias) dest=any port=any
    А кому разрешать/запрещать рулите на LAN интерфейсе файрволом.

    0
  • J

    Стоп, чет я не понял как это, поподробней. Под конец рабочего дня начинаю тормозить :)

    0
  • J

    Проблему так и не решил , отключил микротик дал белый адрес, првил не знаю где создавать? Прошу помощи.

    0
  • J

    Все описанные правила попробовал не пускает в обход прокси.

    0
  • J

    На данный момент у меня вот такие правила, я добился что требовалось. Есть одно но когда я снимаю галку в брузере прокси сервера и ставлю без прокси получается что любой продвинутый юзер сняв галку проксика будет беспрепятственно бродить в инет. Можно ограничить это правилами?




    0
  • W

    2-ое правило сверху на 2-ом скриншоте отключите. В группу Freeinet внесите тех, кому нужен http или создайте отд. алиас для таких LAN-адресов.

    0
  • J

    Получается что мне необходимо выпустить 15 человек которые в группе FreeInet, и создать группу с 3 подсетями 740 адресов? По другому нельзя?

    0
  • W

    Политика pfsense по-умолчанию (как fw): "Всё, что не разрешено явно - запрещено"
    Думайте.

    0
  • J

    @werter:

    Политика pfsense по-умолчанию (как fw): "Всё, что не разрешено явно - запрещено"
    Думайте.

    Спасибо за правильное направление, нынче проблема решена!

    0
  • J

    Кому интересно скину скрины в личку.

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy