Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Настройка правил.

    Russian
    8
    70
    9794
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Guf-Rolex-X last edited by

      добрый день! прошу вашей помощи, не работает "Сбербанк бизнес Онлайн , знаю сейчас скажите делай правило или открывай порт и будет тебе счастье, перепробовал уже всячески всякие примеры правил из гугла, может я что не так делаю, объясните далекому как сделать так что бы заработал СБЕР, как и где и какие правила нужно настроить. знаю только IP 194.54.14.136 и Порт 9443

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Добрый.
        Опять вопрос без описания версии, какие пакеты установлены, скринов правил fw.

        1 Reply Last reply Reply Quote 0
        • N
          NegoroX last edited by

          в сквиде в строку
          Bypass proxy for these destination IPs
          впиши
          sbrf.ru;sberbank.ru;194.54.14.129
          и будет тебе сбербанк  :)

          1 Reply Last reply Reply Quote 0
          • G
            Guf-Rolex-X last edited by

            @NegoroX:

            в сквиде в строку
            Bypass proxy for these destination IPs
            впиши
            sbrf.ru;sberbank.ru;194.54.14.129
            и будет тебе сбербанк  :)

            сделал все как вы описали, не помогло.

            1 Reply Last reply Reply Quote 0
            • G
              Guf-Rolex-X last edited by

              @werter:

              Добрый.
              Опять вопрос без описания версии, какие пакеты установлены, скринов правил fw.

              1. Версия - pfSense 2.2.2-RELEASE (i386)
              2. Пакеты - Squid 2.7.9, Lighsquid 2.41, SquidGuard 1.9.14 (не включен), Sudo

              1 Reply Last reply Reply Quote 0
              • N
                NegoroX last edited by

                а на WAN прописать?
                IPv4 *  *  *  *  *  *  none

                1 Reply Last reply Reply Quote 0
                • G
                  Guf-Rolex-X last edited by

                  @NegoroX:

                  а на WAN прописать?
                  IPv4 *  *  *  *  *  *  none

                  так?



                  все сделал все равно не работает Сбер, мой IP 192.168.50.5 указан в обход прокси-сервера а это значит что у меня так и так должен работать Сбербанк бизнес Онлайн, но эта политика почему то не работает, я хожу в инет все равно через проксю, так же как и прозрачный прокси не работает, галочка стоит а прокси все равно в браузере приходится прописывать или в свойствах обозревателя что бы инет появился. поправьте если я не так что описал.

                  1 Reply Last reply Reply Quote 0
                  • N
                    NegoroX last edited by

                    если ввести http://www.sberbank.ru открывает страничку?
                    какая система на компе с которого заходишь? какой браузер? версия?

                    1 Reply Last reply Reply Quote 0
                    • G
                      Guf-Rolex-X last edited by

                      @NegoroX:

                      если ввести http://www.sberbank.ru открывает страничку?
                      какая система на компе с которого заходишь? какой браузер? версия?

                      эта ссылка у меня и так работает без какого либо ввода, не работает вот эта ссылка https://sbi.sberbank.ru:9443/ic
                      Windows 8, Google Chrome, Версия 44.0.2403.155 m

                      когда инет включаю напрямую через WiFi то по этой ссылке https://sbi.sberbank.ru:9443/ic переходит без проблем

                      1 Reply Last reply Reply Quote 0
                      • K
                        kesha1934 last edited by

                        из правил wan убираем ipv4, на lan убираем ipv6 зачем правило для протокола которого нет наверняка у вас в локалке, вы свой ip адрес прописали в обход прокси - и все работает, специально у себя попробовал - версия pfsense 2.2.3 (i386), и еще добавлю убрал свой ip из исключений прокси - тоже работает и через proxy server.

                        1 Reply Last reply Reply Quote 0
                        • G
                          Guf-Rolex-X last edited by

                          @kesha1934:

                          из правил wan убираем ipv4, на lan убираем ipv6 зачем правило для протокола которого нет наверняка у вас в локалке, вы свой ip адрес прописали в обход прокси - и все работает, специально у себя попробовал - версия pfsense 2.2.3 (i386), и еще добавлю убрал свой ip из исключений прокси - тоже работает и через proxy server.

                          в wan у меня нет никаких правил вообще, с ipv6 согласен, удалил за ненадобностью, ip адрес мой прописан в обход прокси - я об этом писал выше, то что он там прописан ничего не дает, не действует это правило или политика как правильно, все равно я хожу через прокси, если он там даже прописан, если я его от туда удаляю все равно не работает СБЕР.

                          1 Reply Last reply Reply Quote 0
                          • G
                            gmn last edited by

                            Откройте себе выход через NAT минуя прокси.
                            Не прописывайте на своем ПК использование прокси.
                            И все будет работать.

                            1 Reply Last reply Reply Quote 0
                            • K
                              kesha1934 last edited by

                              прокси у вас прозрачный или нет, непонятно, в браузерах прокси прописан? что значит все равно через прокси хожу.

                              1 Reply Last reply Reply Quote 0
                              • G
                                Guf-Rolex-X last edited by

                                @kesha1934:

                                прокси у вас прозрачный или нет, непонятно, в браузерах прокси прописан? что значит все равно через прокси хожу.

                                прокси у меня прозрачный стоит галка на Transparent proxy, но почему то не работает прозрачный прокси, т.е у меня нет инета пока я не пропишу IP и Порт в Свойствах браузера/Подключения/Настройка сети

                                1 Reply Last reply Reply Quote 0
                                • G
                                  Guf-Rolex-X last edited by

                                  @gmn:

                                  Откройте себе выход через NAT минуя прокси.
                                  Не прописывайте на своем ПК использование прокси.
                                  И все будет работать.

                                  как это сделать?

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    Cergoo last edited by

                                    Вообще pfsense странноватый.
                                    У меня вот почему-то squid странно работает, прозрачно проксирует только часть подъсетей, а часть подсетей проксирует только если в браузере прописать прокси а прозрачно запросы блокирует.

                                    to Guf-Rolex-X:
                                    Удали просто squid и всё заработает.

                                    1 Reply Last reply Reply Quote 0
                                    • C
                                      Cergoo last edited by

                                      @kesha1934:

                                      в сетевых настройках tcpipv4 шлюз прописан? должен быть ip адрес pfsense, иначе откуда ваш комп узнает как ему в инет попасть… если шлюз не указываем, тогда в браузерах указывем прокси.

                                      с маршрутами всё ок. удаляем сквид и всё нормально работает через нат. однако от сквида хотелось бы блокировку сайтов поиметь.

                                      1 Reply Last reply Reply Quote 0
                                      • K
                                        kesha1934 last edited by

                                        @Guf-Rolex-X:

                                        @gmn:

                                        Откройте себе выход через NAT минуя прокси.
                                        Не прописывайте на своем ПК использование прокси.
                                        И все будет работать.

                                        как это сделать?

                                        в сетевых настройках tcpipv4 шлюз прописан? должен быть ip адрес pfsense, иначе откуда ваш комп узнает как ему в инет попасть…

                                        1 Reply Last reply Reply Quote 0
                                        • K
                                          kesha1934 last edited by

                                          @Cergoo:

                                          @kesha1934:

                                          в сетевых настройках tcpipv4 шлюз прописан? должен быть ip адрес pfsense, иначе откуда ваш комп узнает как ему в инет попасть… если шлюз не указываем, тогда в браузерах указывем прокси.

                                          с маршрутами всё ок. удаляем сквид и всё нормально работает через нат. однако от сквида хотелось бы блокировку сайтов поиметь.

                                          в сквиде все подсети указаны с которыми он должен работать

                                          1 Reply Last reply Reply Quote 0
                                          • G
                                            Guf-Rolex-X last edited by

                                            squid удалять не вариант, когда прописываю в сетевом адаптере ip ПФ основным шлюзом, от этого сбербанк бизнес онлайн все рано не переходит по их ссыле, и прозрачная прокся так ж не работает. читал вот эту тему https://forum.pfsense.org/index.php?topic=71786.0  пробовал ковыряться чет все рано ничего не получилось, но у автора при вводе логина и пароль проблемы с этим сайтом а у меня даже не переходит по нему.

                                            1 Reply Last reply Reply Quote 0
                                            • K
                                              kesha1934 last edited by

                                              @Guf-Rolex-X:

                                              squid удалять не вариант, когда прописываю в сетевом адаптере ip ПФ основным шлюзом, от этого сбербанк бизнес онлайн все рано не переходит по их ссыле, и прозрачная прокся так ж не работает. читал вот эту тему https://forum.pfsense.org/index.php?topic=71786.0  пробовал ковыряться чет все рано ничего не получилось, но у автора при вводе логина и пароль проблемы с этим сайтом а у меня даже не переходит по нему.

                                              если оставить настройки прокси в браузере, тогда нужно на вкладке proxy server ACLs добавить такие настройки, в белый список sbi.sberbank.ru , и в acl sslports сам порт 9443


                                              1 Reply Last reply Reply Quote 0
                                              • G
                                                Guf-Rolex-X last edited by

                                                @kesha1934:

                                                @Guf-Rolex-X:

                                                squid удалять не вариант, когда прописываю в сетевом адаптере ip ПФ основным шлюзом, от этого сбербанк бизнес онлайн все рано не переходит по их ссыле, и прозрачная прокся так ж не работает. читал вот эту тему https://forum.pfsense.org/index.php?topic=71786.0  пробовал ковыряться чет все рано ничего не получилось, но у автора при вводе логина и пароль проблемы с этим сайтом а у меня даже не переходит по нему.

                                                если оставить настройки прокси в браузере, тогда нужно на вкладке proxy server ACLs добавить такие настройки, в белый список sbi.sberbank.ru , и в acl sslports сам порт 9443

                                                СПАСИБО огромное тебе, все заработало, не много теперь не по этой теме: для того что бы торенты работали тоже самое нужно сделать как и со сбером?

                                                1 Reply Last reply Reply Quote 0
                                                • K
                                                  kesha1934 last edited by

                                                  ну раз у тебя выход в инет через прокси, в настройках торрент клиента (соединение) укажи прокси сервер и порт, а вообще странно конечно, чаще возникает вопрос как заблокировать торренты…

                                                  1 Reply Last reply Reply Quote 0
                                                  • G
                                                    gmn last edited by

                                                    А еще на прокси надо открыть метод CONNECT на все порты :)

                                                    1 Reply Last reply Reply Quote 0
                                                    • K
                                                      kesha1934 last edited by

                                                      @gmn:

                                                      А еще на прокси надо открыть метод CONNECT на все порты :)

                                                      разве в списке разрешенных по умолчанию портов, которые перечислены на скрине, отсутствуют порты торрент клиента


                                                      1 Reply Last reply Reply Quote 0
                                                      • G
                                                        gmn last edited by

                                                        "acl sslports" - там у вас открыт только 9443. И 443 еще добавьте, иначе будут проблемы с httpS сайтами.

                                                        А вообще торрент лучше через NAT выпускать, не через прокси. И в правилах настроить шейпер.
                                                        Какую вы задачу решаете, если выпустите торрент через прокси? Логирование запросов?
                                                        Так оно вам ничего не даст. Будет куча коннектов по IP-адресам. И все.

                                                        1 Reply Last reply Reply Quote 0
                                                        • K
                                                          kesha1934 last edited by

                                                          @gmn:

                                                          "acl sslports" - там у вас открыт только 9443. И 443 еще добавьте, иначе будут проблемы с httpS сайтами.

                                                          А вообще торрент лучше через NAT выпускать, не через прокси. И в правилах настроить шейпер.
                                                          Какую вы задачу решаете, если выпустите торрент через прокси? Логирование запросов?
                                                          Так оно вам ничего не даст. Будет куча коннектов по IP-адресам. И все.

                                                          что бы это значило

                                                          This is a space-separated list of "safe ports" in addition to the already defined list: 21 70 80 210 280 443 488 563 591 631 777 901 1025-65535

                                                          This is a space-separated list of ports to allow SSL "CONNECT" in addition to the already defined list: 443 563

                                                          переведите…

                                                          а вообще был ответ на вопрос как можно выпустить торрент товарищу Guf-Rolex-X , так как он видимо так и не смог работать через NAT, да и с pfsense я ничего не решаю, я им просто не пользуюсь...

                                                          1 Reply Last reply Reply Quote 0
                                                          • G
                                                            Guf-Rolex-X last edited by

                                                            @kesha1934:

                                                            ну раз у тебя выход в инет через прокси, в настройках торрент клиента (соединение) укажи прокси сервер и порт, а вообще странно конечно, чаще возникает вопрос как заблокировать торренты…

                                                            я почему спросил, так как вы говорите я уже делал (непомогло) поэтому спросил здесь, торрент клиент BitTorent в настройка Соединения указываю Тип: HTTP , IP, Порт, все равно не качает ничего, по поводу того что все наоборот блочат торрент - мне он нужен не часто но бывает, и нужен только на моем компе, а не так что бы все ринулись им пользоваться.

                                                            1 Reply Last reply Reply Quote 0
                                                            • K
                                                              kesha1934 last edited by

                                                              @Guf-Rolex-X:

                                                              @kesha1934:

                                                              ну раз у тебя выход в инет через прокси, в настройках торрент клиента (соединение) укажи прокси сервер и порт, а вообще странно конечно, чаще возникает вопрос как заблокировать торренты…

                                                              я почему спросил, так как вы говорите я уже делал (непомогло) поэтому спросил здесь, торрент клиент BitTorent в настройка Соединения указываю Тип: HTTP , IP, Порт, все равно не качает ничего, по поводу того что все наоборот блочат торрент - мне он нужен не часто но бывает, и нужен только на моем компе, а не так что бы все ринулись им пользоваться.

                                                              без указания шлюза не будет работать, а если шлюз указан то и прокси в торрент клиенте не нужно прописывать

                                                              1 Reply Last reply Reply Quote 0
                                                              • G
                                                                gmn last edited by

                                                                нужен только на моем компе, а не так что бы все ринулись им пользоваться.

                                                                Оставьте прокси в покое.
                                                                Пропишите у себя на ПК правильные настройки протокола TCP/IP - ip, маска, шлюз, ДНС(ы).
                                                                На шлюзе (pfsense наверняка, если вопрос на этом форуме обсуждается) откройте для своего ПК NAT по всем портам.
                                                                NAT, я думаю, у вас настроен, так как могут быть службы, приложения, которые через прокси работать просто не умеют. А такие есть.
                                                                Если нет - вы просто с ними еще не столкнулись :)

                                                                И все, торрент-клиент с вашего ПК будет качать через NAT.
                                                                Никаких прокси в торрент-клиенте указывать не надо.

                                                                1 Reply Last reply Reply Quote 0
                                                                • G
                                                                  Guf-Rolex-X last edited by

                                                                  @gmn:

                                                                  нужен только на моем компе, а не так что бы все ринулись им пользоваться.

                                                                  Оставьте прокси в покое.
                                                                  Пропишите у себя на ПК правильные настройки протокола TCP/IP - ip, маска, шлюз, ДНС(ы).
                                                                  На шлюзе (pfsense наверняка, если вопрос на этом форуме обсуждается) откройте для своего ПК NAT по всем портам.
                                                                  NAT, я думаю, у вас настроен, так как могут быть службы, приложения, которые через прокси работать просто не умеют. А такие есть.
                                                                  Если нет - вы просто с ними еще не столкнулись :)

                                                                  И все, торрент-клиент с вашего ПК будет качать через NAT.
                                                                  Никаких прокси в торрент-клиенте указывать не надо.

                                                                  а с чего вы решили что у меня не правильные настройки в сетевом адаптере? никогда не открывал NAT по всем портам и не пользовался никогда, NAT у нас не настроен, как настраивать не знаю, объясните если не сложно как это сделать.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • G
                                                                    gmn last edited by

                                                                    Поишите или по форуму, или через Google. Наверняка писали уже не раз, как насторить NAT в pfsense.
                                                                    Я буквально только сегодня или вчера писал одному человеку на этом форуме, как настроить …

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • G
                                                                      Guf-Rolex-X last edited by

                                                                      так?

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • G
                                                                        gmn last edited by

                                                                        не так.
                                                                        Надо в "Firewall: NAT: Outbound" что-то подобное.
                                                                        Но это открыто всем в локалке.
                                                                        Можете вместо источника "any" указать свой IP.


                                                                        1 Reply Last reply Reply Quote 0
                                                                        • 3
                                                                          3vs last edited by

                                                                          А не стоит ли у Вас на компе Kaspersky Internet Security?
                                                                          Обычно он не даёт нормально работать со Сбербанком.
                                                                          Если да, то попробуйте его выгрузить и попробовать подключиться.

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • G
                                                                            Guf-Rolex-X last edited by

                                                                            @3vs:

                                                                            А не стоит ли у Вас на компе Kaspersky Internet Security?
                                                                            Обычно он не даёт нормально работать со Сбербанком.
                                                                            Если да, то попробуйте его выгрузить и попробовать подключиться.

                                                                            стоит вот такой Kaspersky Small Office Security, но дело не в нем, удалил на ПФ сайт sbi.sberbank.ru и порт 9443 попробовал не работает, отключил антивир тоже самое, добавил все обратно, все норм.

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • G
                                                                              Guf-Rolex-X last edited by

                                                                              @gmn:

                                                                              не так.
                                                                              Надо в "Firewall: NAT: Outbound" что-то подобное.
                                                                              Но это открыто всем в локалке.
                                                                              Можете вместо источника "any" указать свой IP.


                                                                              сделал вот так, только почему это правило NAT не активное? какие порты указывать?
                                                                              так же пробовал делать как у вас, "Но это открыто всем в локалке." все равно не качает.
                                                                              или это из-за того что не активно правило.

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • K
                                                                                kesha1934 last edited by

                                                                                @Guf-Rolex-X:

                                                                                сделал вот так, только почему это правило NAT не активное? какие порты указывать?
                                                                                так же пробовал делать как у вас, "Но это открыто всем в локалке." все равно не качает.
                                                                                или это из-за того что не активно правило.

                                                                                воообще при установке, pfsense сам автоматически создает правила для NAT, настройка требуется только в каких то спецефичных случаях - проброс портов например, и до установки каких либо пакетов squid, squid guard и т.д. и интернет уже есть у любого пользователя у кого прописан в сетевых настройках адрес шлюза с pfsense и DNS сервер, если у вас в сети есть то его адрес, если нет то адрес pfsense ну или 8.8.8.8 например, т.е. в вашем случае скорее что то все таки с неправильными настройками, и поэтому догадаться телепатически где у вас ошибка трудно, поэтому еще раз вопрос - а у вас был интернет до установки пакетов в pfsense, да и еще, если DNS сервер локальный есть, то обязательно на нем делать переадресацию необрабатываемых запросов или на pfsense или DNS провайдера.
                                                                                Почему такие мысли, наверное потому что если вы работаете через прокси и все нормально(получается что pfsense настроен и знает адреса dns), а если убираете из браузеров настройки и ничего не работает,то скорее проблема в сетевых настройках, т.е. чего то не хватает.

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • G
                                                                                  Guf-Rolex-X last edited by

                                                                                  @kesha1934:

                                                                                  @Guf-Rolex-X:

                                                                                  сделал вот так, только почему это правило NAT не активное? какие порты указывать?
                                                                                  так же пробовал делать как у вас, "Но это открыто всем в локалке." все равно не качает.
                                                                                  или это из-за того что не активно правило.

                                                                                  воообще при установке, pfsense сам автоматически создает правила для NAT, настройка требуется только в каких то спецефичных случаях - проброс портов например, и до установки каких либо пакетов squid, squid guard и т.д. и интернет уже есть у любого пользователя у кого прописан в сетевых настройках адрес шлюза с pfsense и DNS сервер, если у вас в сети есть то его адрес, если нет то адрес pfsense ну или 8.8.8.8 например, т.е. в вашем случае скорее что то все таки с неправильными настройками, и поэтому догадаться телепатически где у вас ошибка трудно, поэтому еще раз вопрос - а у вас был интернет до установки пакетов в pfsense, да и еще, если DNS сервер локальный есть, то обязательно на нем делать переадресацию необрабатываемых запросов или на pfsense или DNS провайдера.
                                                                                  Почему такие мысли, наверное потому что если вы работаете через прокси и все нормально(получается что pfsense настроен и знает адреса dns), а если убираете из браузеров настройки и ничего не работает,то скорее проблема в сетевых настройках, т.е. чего то не хватает.

                                                                                  был ли интернет до установки не могу сказать, так pf устанавливал не я, у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS - сервер есть он развернут на RODC.

                                                                                  1 Reply Last reply Reply Quote 0
                                                                                  • G
                                                                                    gmn last edited by

                                                                                    у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS

                                                                                    Немного понятно …
                                                                                    Есть главный офис. Вы - "филиал".
                                                                                    Между офисами шифрованный канал.
                                                                                    На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
                                                                                    Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
                                                                                    Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
                                                                                    В таком случае открывать доступ к клиентбанку надо в центральном офисе.

                                                                                    Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
                                                                                    Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
                                                                                    А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.

                                                                                    Если второй вариант, то на сквиде надо открыть необходимый порт.
                                                                                    Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
                                                                                    И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.

                                                                                    1 Reply Last reply Reply Quote 0
                                                                                    • First post
                                                                                      Last post