Настройка правил.



  • добрый день! прошу вашей помощи, не работает "Сбербанк бизнес Онлайн , знаю сейчас скажите делай правило или открывай порт и будет тебе счастье, перепробовал уже всячески всякие примеры правил из гугла, может я что не так делаю, объясните далекому как сделать так что бы заработал СБЕР, как и где и какие правила нужно настроить. знаю только IP 194.54.14.136 и Порт 9443



  • Добрый.
    Опять вопрос без описания версии, какие пакеты установлены, скринов правил fw.



  • в сквиде в строку
    Bypass proxy for these destination IPs
    впиши
    sbrf.ru;sberbank.ru;194.54.14.129
    и будет тебе сбербанк  :)



  • @NegoroX:

    в сквиде в строку
    Bypass proxy for these destination IPs
    впиши
    sbrf.ru;sberbank.ru;194.54.14.129
    и будет тебе сбербанк  :)

    сделал все как вы описали, не помогло.



  • @werter:

    Добрый.
    Опять вопрос без описания версии, какие пакеты установлены, скринов правил fw.

    1. Версия - pfSense 2.2.2-RELEASE (i386)
    2. Пакеты - Squid 2.7.9, Lighsquid 2.41, SquidGuard 1.9.14 (не включен), Sudo



  • а на WAN прописать?
    IPv4 *  *  *  *  *  *  none



  • @NegoroX:

    а на WAN прописать?
    IPv4 *  *  *  *  *  *  none

    так?



    все сделал все равно не работает Сбер, мой IP 192.168.50.5 указан в обход прокси-сервера а это значит что у меня так и так должен работать Сбербанк бизнес Онлайн, но эта политика почему то не работает, я хожу в инет все равно через проксю, так же как и прозрачный прокси не работает, галочка стоит а прокси все равно в браузере приходится прописывать или в свойствах обозревателя что бы инет появился. поправьте если я не так что описал.



  • если ввести http://www.sberbank.ru открывает страничку?
    какая система на компе с которого заходишь? какой браузер? версия?



  • @NegoroX:

    если ввести http://www.sberbank.ru открывает страничку?
    какая система на компе с которого заходишь? какой браузер? версия?

    эта ссылка у меня и так работает без какого либо ввода, не работает вот эта ссылка https://sbi.sberbank.ru:9443/ic
    Windows 8, Google Chrome, Версия 44.0.2403.155 m

    когда инет включаю напрямую через WiFi то по этой ссылке https://sbi.sberbank.ru:9443/ic переходит без проблем



  • из правил wan убираем ipv4, на lan убираем ipv6 зачем правило для протокола которого нет наверняка у вас в локалке, вы свой ip адрес прописали в обход прокси - и все работает, специально у себя попробовал - версия pfsense 2.2.3 (i386), и еще добавлю убрал свой ip из исключений прокси - тоже работает и через proxy server.



  • @kesha1934:

    из правил wan убираем ipv4, на lan убираем ipv6 зачем правило для протокола которого нет наверняка у вас в локалке, вы свой ip адрес прописали в обход прокси - и все работает, специально у себя попробовал - версия pfsense 2.2.3 (i386), и еще добавлю убрал свой ip из исключений прокси - тоже работает и через proxy server.

    в wan у меня нет никаких правил вообще, с ipv6 согласен, удалил за ненадобностью, ip адрес мой прописан в обход прокси - я об этом писал выше, то что он там прописан ничего не дает, не действует это правило или политика как правильно, все равно я хожу через прокси, если он там даже прописан, если я его от туда удаляю все равно не работает СБЕР.



  • Откройте себе выход через NAT минуя прокси.
    Не прописывайте на своем ПК использование прокси.
    И все будет работать.



  • прокси у вас прозрачный или нет, непонятно, в браузерах прокси прописан? что значит все равно через прокси хожу.



  • @kesha1934:

    прокси у вас прозрачный или нет, непонятно, в браузерах прокси прописан? что значит все равно через прокси хожу.

    прокси у меня прозрачный стоит галка на Transparent proxy, но почему то не работает прозрачный прокси, т.е у меня нет инета пока я не пропишу IP и Порт в Свойствах браузера/Подключения/Настройка сети



  • @gmn:

    Откройте себе выход через NAT минуя прокси.
    Не прописывайте на своем ПК использование прокси.
    И все будет работать.

    как это сделать?



  • Вообще pfsense странноватый.
    У меня вот почему-то squid странно работает, прозрачно проксирует только часть подъсетей, а часть подсетей проксирует только если в браузере прописать прокси а прозрачно запросы блокирует.

    to Guf-Rolex-X:
    Удали просто squid и всё заработает.



  • @kesha1934:

    в сетевых настройках tcpipv4 шлюз прописан? должен быть ip адрес pfsense, иначе откуда ваш комп узнает как ему в инет попасть… если шлюз не указываем, тогда в браузерах указывем прокси.

    с маршрутами всё ок. удаляем сквид и всё нормально работает через нат. однако от сквида хотелось бы блокировку сайтов поиметь.



  • @Guf-Rolex-X:

    @gmn:

    Откройте себе выход через NAT минуя прокси.
    Не прописывайте на своем ПК использование прокси.
    И все будет работать.

    как это сделать?

    в сетевых настройках tcpipv4 шлюз прописан? должен быть ip адрес pfsense, иначе откуда ваш комп узнает как ему в инет попасть…



  • @Cergoo:

    @kesha1934:

    в сетевых настройках tcpipv4 шлюз прописан? должен быть ip адрес pfsense, иначе откуда ваш комп узнает как ему в инет попасть… если шлюз не указываем, тогда в браузерах указывем прокси.

    с маршрутами всё ок. удаляем сквид и всё нормально работает через нат. однако от сквида хотелось бы блокировку сайтов поиметь.

    в сквиде все подсети указаны с которыми он должен работать



  • squid удалять не вариант, когда прописываю в сетевом адаптере ip ПФ основным шлюзом, от этого сбербанк бизнес онлайн все рано не переходит по их ссыле, и прозрачная прокся так ж не работает. читал вот эту тему https://forum.pfsense.org/index.php?topic=71786.0  пробовал ковыряться чет все рано ничего не получилось, но у автора при вводе логина и пароль проблемы с этим сайтом а у меня даже не переходит по нему.



  • @Guf-Rolex-X:

    squid удалять не вариант, когда прописываю в сетевом адаптере ip ПФ основным шлюзом, от этого сбербанк бизнес онлайн все рано не переходит по их ссыле, и прозрачная прокся так ж не работает. читал вот эту тему https://forum.pfsense.org/index.php?topic=71786.0  пробовал ковыряться чет все рано ничего не получилось, но у автора при вводе логина и пароль проблемы с этим сайтом а у меня даже не переходит по нему.

    если оставить настройки прокси в браузере, тогда нужно на вкладке proxy server ACLs добавить такие настройки, в белый список sbi.sberbank.ru , и в acl sslports сам порт 9443




  • @kesha1934:

    @Guf-Rolex-X:

    squid удалять не вариант, когда прописываю в сетевом адаптере ip ПФ основным шлюзом, от этого сбербанк бизнес онлайн все рано не переходит по их ссыле, и прозрачная прокся так ж не работает. читал вот эту тему https://forum.pfsense.org/index.php?topic=71786.0  пробовал ковыряться чет все рано ничего не получилось, но у автора при вводе логина и пароль проблемы с этим сайтом а у меня даже не переходит по нему.

    если оставить настройки прокси в браузере, тогда нужно на вкладке proxy server ACLs добавить такие настройки, в белый список sbi.sberbank.ru , и в acl sslports сам порт 9443

    СПАСИБО огромное тебе, все заработало, не много теперь не по этой теме: для того что бы торенты работали тоже самое нужно сделать как и со сбером?



  • ну раз у тебя выход в инет через прокси, в настройках торрент клиента (соединение) укажи прокси сервер и порт, а вообще странно конечно, чаще возникает вопрос как заблокировать торренты…



  • А еще на прокси надо открыть метод CONNECT на все порты :)



  • @gmn:

    А еще на прокси надо открыть метод CONNECT на все порты :)

    разве в списке разрешенных по умолчанию портов, которые перечислены на скрине, отсутствуют порты торрент клиента




  • "acl sslports" - там у вас открыт только 9443. И 443 еще добавьте, иначе будут проблемы с httpS сайтами.

    А вообще торрент лучше через NAT выпускать, не через прокси. И в правилах настроить шейпер.
    Какую вы задачу решаете, если выпустите торрент через прокси? Логирование запросов?
    Так оно вам ничего не даст. Будет куча коннектов по IP-адресам. И все.



  • @gmn:

    "acl sslports" - там у вас открыт только 9443. И 443 еще добавьте, иначе будут проблемы с httpS сайтами.

    А вообще торрент лучше через NAT выпускать, не через прокси. И в правилах настроить шейпер.
    Какую вы задачу решаете, если выпустите торрент через прокси? Логирование запросов?
    Так оно вам ничего не даст. Будет куча коннектов по IP-адресам. И все.

    что бы это значило

    This is a space-separated list of "safe ports" in addition to the already defined list: 21 70 80 210 280 443 488 563 591 631 777 901 1025-65535

    This is a space-separated list of ports to allow SSL "CONNECT" in addition to the already defined list: 443 563

    переведите…

    а вообще был ответ на вопрос как можно выпустить торрент товарищу Guf-Rolex-X , так как он видимо так и не смог работать через NAT, да и с pfsense я ничего не решаю, я им просто не пользуюсь...



  • @kesha1934:

    ну раз у тебя выход в инет через прокси, в настройках торрент клиента (соединение) укажи прокси сервер и порт, а вообще странно конечно, чаще возникает вопрос как заблокировать торренты…

    я почему спросил, так как вы говорите я уже делал (непомогло) поэтому спросил здесь, торрент клиент BitTorent в настройка Соединения указываю Тип: HTTP , IP, Порт, все равно не качает ничего, по поводу того что все наоборот блочат торрент - мне он нужен не часто но бывает, и нужен только на моем компе, а не так что бы все ринулись им пользоваться.



  • @Guf-Rolex-X:

    @kesha1934:

    ну раз у тебя выход в инет через прокси, в настройках торрент клиента (соединение) укажи прокси сервер и порт, а вообще странно конечно, чаще возникает вопрос как заблокировать торренты…

    я почему спросил, так как вы говорите я уже делал (непомогло) поэтому спросил здесь, торрент клиент BitTorent в настройка Соединения указываю Тип: HTTP , IP, Порт, все равно не качает ничего, по поводу того что все наоборот блочат торрент - мне он нужен не часто но бывает, и нужен только на моем компе, а не так что бы все ринулись им пользоваться.

    без указания шлюза не будет работать, а если шлюз указан то и прокси в торрент клиенте не нужно прописывать



  • нужен только на моем компе, а не так что бы все ринулись им пользоваться.

    Оставьте прокси в покое.
    Пропишите у себя на ПК правильные настройки протокола TCP/IP - ip, маска, шлюз, ДНС(ы).
    На шлюзе (pfsense наверняка, если вопрос на этом форуме обсуждается) откройте для своего ПК NAT по всем портам.
    NAT, я думаю, у вас настроен, так как могут быть службы, приложения, которые через прокси работать просто не умеют. А такие есть.
    Если нет - вы просто с ними еще не столкнулись :)

    И все, торрент-клиент с вашего ПК будет качать через NAT.
    Никаких прокси в торрент-клиенте указывать не надо.



  • @gmn:

    нужен только на моем компе, а не так что бы все ринулись им пользоваться.

    Оставьте прокси в покое.
    Пропишите у себя на ПК правильные настройки протокола TCP/IP - ip, маска, шлюз, ДНС(ы).
    На шлюзе (pfsense наверняка, если вопрос на этом форуме обсуждается) откройте для своего ПК NAT по всем портам.
    NAT, я думаю, у вас настроен, так как могут быть службы, приложения, которые через прокси работать просто не умеют. А такие есть.
    Если нет - вы просто с ними еще не столкнулись :)

    И все, торрент-клиент с вашего ПК будет качать через NAT.
    Никаких прокси в торрент-клиенте указывать не надо.

    а с чего вы решили что у меня не правильные настройки в сетевом адаптере? никогда не открывал NAT по всем портам и не пользовался никогда, NAT у нас не настроен, как настраивать не знаю, объясните если не сложно как это сделать.



  • Поишите или по форуму, или через Google. Наверняка писали уже не раз, как насторить NAT в pfsense.
    Я буквально только сегодня или вчера писал одному человеку на этом форуме, как настроить …



  • так?



  • не так.
    Надо в "Firewall: NAT: Outbound" что-то подобное.
    Но это открыто всем в локалке.
    Можете вместо источника "any" указать свой IP.




  • А не стоит ли у Вас на компе Kaspersky Internet Security?
    Обычно он не даёт нормально работать со Сбербанком.
    Если да, то попробуйте его выгрузить и попробовать подключиться.



  • @3vs:

    А не стоит ли у Вас на компе Kaspersky Internet Security?
    Обычно он не даёт нормально работать со Сбербанком.
    Если да, то попробуйте его выгрузить и попробовать подключиться.

    стоит вот такой Kaspersky Small Office Security, но дело не в нем, удалил на ПФ сайт sbi.sberbank.ru и порт 9443 попробовал не работает, отключил антивир тоже самое, добавил все обратно, все норм.



  • @gmn:

    не так.
    Надо в "Firewall: NAT: Outbound" что-то подобное.
    Но это открыто всем в локалке.
    Можете вместо источника "any" указать свой IP.


    сделал вот так, только почему это правило NAT не активное? какие порты указывать?
    так же пробовал делать как у вас, "Но это открыто всем в локалке." все равно не качает.
    или это из-за того что не активно правило.



  • @Guf-Rolex-X:

    сделал вот так, только почему это правило NAT не активное? какие порты указывать?
    так же пробовал делать как у вас, "Но это открыто всем в локалке." все равно не качает.
    или это из-за того что не активно правило.

    воообще при установке, pfsense сам автоматически создает правила для NAT, настройка требуется только в каких то спецефичных случаях - проброс портов например, и до установки каких либо пакетов squid, squid guard и т.д. и интернет уже есть у любого пользователя у кого прописан в сетевых настройках адрес шлюза с pfsense и DNS сервер, если у вас в сети есть то его адрес, если нет то адрес pfsense ну или 8.8.8.8 например, т.е. в вашем случае скорее что то все таки с неправильными настройками, и поэтому догадаться телепатически где у вас ошибка трудно, поэтому еще раз вопрос - а у вас был интернет до установки пакетов в pfsense, да и еще, если DNS сервер локальный есть, то обязательно на нем делать переадресацию необрабатываемых запросов или на pfsense или DNS провайдера.
    Почему такие мысли, наверное потому что если вы работаете через прокси и все нормально(получается что pfsense настроен и знает адреса dns), а если убираете из браузеров настройки и ничего не работает,то скорее проблема в сетевых настройках, т.е. чего то не хватает.



  • @kesha1934:

    @Guf-Rolex-X:

    сделал вот так, только почему это правило NAT не активное? какие порты указывать?
    так же пробовал делать как у вас, "Но это открыто всем в локалке." все равно не качает.
    или это из-за того что не активно правило.

    воообще при установке, pfsense сам автоматически создает правила для NAT, настройка требуется только в каких то спецефичных случаях - проброс портов например, и до установки каких либо пакетов squid, squid guard и т.д. и интернет уже есть у любого пользователя у кого прописан в сетевых настройках адрес шлюза с pfsense и DNS сервер, если у вас в сети есть то его адрес, если нет то адрес pfsense ну или 8.8.8.8 например, т.е. в вашем случае скорее что то все таки с неправильными настройками, и поэтому догадаться телепатически где у вас ошибка трудно, поэтому еще раз вопрос - а у вас был интернет до установки пакетов в pfsense, да и еще, если DNS сервер локальный есть, то обязательно на нем делать переадресацию необрабатываемых запросов или на pfsense или DNS провайдера.
    Почему такие мысли, наверное потому что если вы работаете через прокси и все нормально(получается что pfsense настроен и знает адреса dns), а если убираете из браузеров настройки и ничего не работает,то скорее проблема в сетевых настройках, т.е. чего то не хватает.

    был ли интернет до установки не могу сказать, так pf устанавливал не я, у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS - сервер есть он развернут на RODC.



  • у нас есть главный офис в другом городе, между нами настроен Криптографический канал, мы друг друга видим, в сетевых адаптерах наших ПК в локалке основным шлюзом выступает IP 192.168.50.1 - это наш КШ, в нашем филиале, если я меняю основной шлюз на IP pf, то: перестает работать Outlook и Lync, ну и к тому же нет инета, DNS

    Немного понятно …
    Есть главный офис. Вы - "филиал".
    Между офисами шифрованный канал.
    На ПК в вашей сети default gateway указывает на шлюз в шифрованный канал.
    Т.е. все пакеты уходят в канал и на той стороне уже главный офис выпускает или нет в Инет.
    Там же, в главном офисе, работает Exchange, Lync, и там же выход в Интернет.
    В таком случае открывать доступ к клиентбанку надо в центральном офисе.

    Или же другой вариант (я просто догадываюсь, не знаю точно как у вас все построено).
    Корп. сервисы (Exchange, Lync) находятся в главном офисе. И default gateway указывает на шифрованный канал и все уходит туда.
    А для выхода в Интернет в ВАШЕМ офисе установлен pfsense со сквидом.

    Если второй вариант, то на сквиде надо открыть необходимый порт.
    Но может быть ноюанс, что Java-апплет (почему Java? - многие клиент-банки используют именно ее) клиент-банка не умеет работать через прокси.
    И вы хоть открывайте на прокси порт, хоть нет - запросы уйдут по маршруту по умолчанию., т.е. в главный офис. А там их могут и не выпустить. Я не знаю схему ваших сетей.


Log in to reply