Доступ в Интернет только с определенных л



  • Всем здравствуйте!
    Сразу прошу сильно не пинать за глупые вопросы, с pfsense познакомился только 2 часа назад, до этого сидел на шлюзе Ideco,
    который сильно достал своими глюками. В Рунете сильно хвалят pfsense, поэтому версия 2.2.5 установлена на виртуалку и тестируется как новый шлюз.
    Вроде все настроил, инет есть, но вот какая проблема - доступ в инет никак не контролируется.
    Установил пакеты squad, squadquard (который пока не включен), в настройках squad снял галки Allow users on interface - чтобы инет по умолчанию прикрыть всем,
    поставил галку Transparent proxy - чтобы был прозрачный прокси. При данных настройках, и при пустых полях на закладке Access control, по идее, инет не должно быть ни у кого.
    Однако он есть - на админском PC, с которого я и захожу в web-интерфейс pfsense. Пробовал снять галку Transparent proxy  - все равно инет есть.
    Подскажите, пожалуйста, как, с помощью одного squad (работающего в прозрачном режиме) разрешить доступ в инет только определенным ip, например, 10.1.2.5?
    Или же для этого обязательно нужно писать правила в firewall?
    Заранее, спасибо за ответ.



  • посмотри закладку  в сквиде Proxy Server: Access Control  вот там и настроишь.



  • @NegoroX:

    посмотри закладку  в сквиде Proxy Server: Access Control  вот там и настроишь.

    NegoroX, да я там и пытался настраивать, добавлял в поле Allow subnets и ip и маски подсетей, отличных от моего админского ip - все равно инет есть…
    Может, еще нужно где что включить?



  • банит нормально, другое дело, что банит только когда обращаешься к http а httpS пропускает,
    правильней закрыть в Firewall: Rules



  • Доброе
    Покажите скрин правил fw на LAN.
    Ели у Вас там разрешено всё и всем, то так и будет.



  • @werter:

    Доброе
    Покажите скрин правил fw на LAN.
    Ели у Вас там разрешено всё и всем, то так и будет.

    werter, да, в firewall все разрешено, я ведь и спрашиваю, можно ли, без использования fw, одними настройками прокси (в частности, закладкой Access control в настройках Squid) регулировать доступ разным ip к интернету? Получается, что нельзя, и для такого доступа нужно обязательно настраивать правила в fw? А тогда настройки Access control на что влияют? (подразумевается прозрачная работа прокси).



  • @csdoom:

    @werter:

    Доброе
    Покажите скрин правил fw на LAN.
    Ели у Вас там разрешено всё и всем, то так и будет.

    werter, да, в firewall все разрешено, я ведь и спрашиваю, можно ли, без использования fw, одними настройками прокси (в частности, закладкой Access control в настройках Squid) регулировать доступ разным ip к интернету? Получается, что нельзя, и для такого доступа нужно обязательно настраивать правила в fw? А тогда настройки Access control на что влияют? (подразумевается прозрачная работа прокси).

    Если вкл. прокси - то правилами в прокси.
    Если выкл. прокси - то правилами fw

    У Вас выкл. прокси и в правилах fw разрешено. Вот по этому есть доступ к Сети. 
    Логично, правда ?



  • werter, а как включить прокси?
    Я вот сейчас пробую, поднял тестовую лабораторию.
    Первая вирт.машина (ВМ) - с pfSense 2.2.5 x64, имеет внутренний ip 10.1.2.9
    две другие ВМ с WinXP, с ip 10.1.2.1 и 10.1.2.2, типа клиенты шлюза.
    На клиентах, в настройка сети, я поставил основным шлюзом внутренний ip pfSense - 10.1.2.9, и его же основным DNS.
    В web настройках pfsense ничего не менял, кроме установки squid, в настройках которого поставл галку:
    Allow users on interface - т.е. чтобы все клиенты шлюза шли через этот прокси.
    Галку Transparent proxy не ставил, она снята, т.е. прокси работает не в прозрачном режиме, и при обращении к Инету с клиентов должна запрашиваться авторизация - логин и пароль.
    На закладке Access Control в поле Allowed subnets вставил ip второго клиента - 10.1.2.2/32, если вставлять просто ip 10.1.2.2 то пишет ошибку, нужно указывать именно с маской, я так понял, что маска 255.255.255.255 или 32 указывает на конкретный ip. Впрочем, если оставить все поля пустые на Access Control - результат тот же.
    На закладке Auth Settings я пробовал ставить Authentication method и в None и в Local - один результат, с обоих клиентов инет есть и никак не ограничивается, и без запроса пароля к прокси. Такое впечатление, что прокси действительно где-то выключен и Инет через шлюз раздается клиентам в обход прокси.
    Естественно, в Firewall -> Rules -> LAN все разрешено, ведь я пытаюсь ограничить Инет клиентам не с помощью firewall, а с помощью прокси.
    Буду благодарен за любой совет в данной ситуации…

    PS: В Status -> Services все службы, включая squid - зеленый Running
    PPS: в полях Bypass proxy for these source IPs и Bypass proxy for these destination IPs ничего нет, т.е. не определены ip, которые будут ходить в Инет в обход прокси.



  • на клиентах прокси сервер настроить нужно, раз вы хотите всех через прокси пускать, в браузере IP адрес и порт прокси сервера, ваши клиенты об этом не знают, они знают только шлюз… и с масками не понятно, зачем вам 32 маска, вы ее как в локальной сети использовать собираетесь?



  • @kesha1934:

    на клиентах прокси сервер настроить нужно, раз вы хотите всех через прокси пускать, в браузере IP адрес и порт прокси сервера, ваши клиенты об этом не знают, они знают только шлюз… и с масками не понятно, зачем вам 32 маска, вы ее как в локальной сети использовать собираетесь?

    Я хочу, чтобы прокси работал в прозрачном режиме, при таком режиме настройка прокси у клиентов не требуется, галку Transparent proxy я пробовал и ставить, и снимать - один и тот же результат.
    маска сети 32, как я понимаю, используется для указания подсети только из одного статического ip, т.к., если в поле Allowed subnets вставить просто один ip 10.1.2.2, то сохранить не дает, ругается, что нужно с маской указывать.
    Впрочем, чтобы я не писал в поле Allowed subnets, на результат это никак не влияет - инет как был у обоих клиентов, так и есть…



  • поле Allowed subnets - разрешенные подсети, кому разрешено использовать прокси,  поле Banned Hosts Addresses - перечисляете или IP или подсети, которым хотите запретить использовать прокси(все прекрасно работает).  А вообще вам уже писали, что лучше, да и правильнее, настроить fw, где можно создать алиасы, создать для них правила в fw, и исправления в дальнейшем вносить в alias. Наверняка появится потребность не только дать доступ в интернет, но и разрешить или запретить работу различных служб и приложений, значит указываете порты для этих служб, поэтому fw придется настраивать…


Log in to reply