Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» pfSense межсетевой экран

Автор: gabbapunk
Дата сообщения: 23.06.2013 21:59
ни разу не использовал этот фаерволл, подскажите, в нём есть поддержка AD-авторизации? т.е. задача-распределение трафика не по IP, а по пользователям в каталоге?
Автор: urodliv
Дата сообщения: 23.06.2013 22:18
gabbapunk
Только для squid`а. Остальное через radius-сервер.
Автор: SergeSerge3leo
Дата сообщения: 23.06.2013 22:59
Ну у MS есть же штатный RADIS сервер (IAS), который работает от AD.
Автор: Pvitalik
Дата сообщения: 24.06.2013 10:13
The Definitive Guide to pfSense
для версии pfSense 2.1 - кто-нибудь видел это руководство в свободном доступе?
http://forum.pfsense.org/index.php?topic=57291.0

https://portal.pfsense.org/
Book available online for subscribers
The Definitive Guide to pfSense book is now available for subscribers (log in with the username and password created during sign up). The draft version of the 2.1 book is now available as well.


+ здесь же запрос на правку шапки, т.к.
"Книга по фичам и настройке pfSense 2: pfSense 2 Cookbook (РУССКИЙ ЯЗЫК)" - ВОВСЕ не для ВЕРСИИ 2.0, а для версии 1.2.3
на заглавной страницы книги: "Основано на pfSense Версия 1.2.3 Дата публикации 2009", что собственно
не очень актуально при наличии на подходе выходящей в продакшен уже версии 2.1
Автор: Tim2000
Дата сообщения: 25.06.2013 05:11
Pvitalik

Цитата:
+ здесь же запрос на правку шапки, т.к.
"Книга по фичам и настройке pfSense 2: pfSense 2 Cookbook (РУССКИЙ ЯЗЫК)" - ВОВСЕ не для ВЕРСИИ 2.0, а для версии 1.2.3
на заглавной страницы книги: "Основано на pfSense Версия 1.2.3 Дата публикации 2009", что собственно
не очень актуально при наличии на подходе выходящей в продакшен уже версии 2.1

Вы сами себе же ответили. Книга и для 1,2,3 и для 2,0. Там есть места где как для той или другой версии настраивать, насколько я понял. Для 2,1 видимо вообще новая книга будет)
Автор: dikiyprapor
Дата сообщения: 25.06.2013 08:27
Народ, вопрос небольшой.
Стоит сейчас pfSense на слабенькой машине, трудится чисто шлюзом из локальной сети в инет, пакет прокси не установлен.
Есть прокси в локальной сети для доступа в защищенную сеть, другая машина, вне зоны моей ответственности.
Стоит задача - чтобы при попытке доступа к одному сайту определенному, юзеры ходили через этот защищённый прокси.
Вопрос: как этот типа редирект сделать средствами pfSense, и надо ли для этого ставить в него squid?
Автор: NegoroX
Дата сообщения: 25.06.2013 13:26
dikiyprapor

Цитата:
редирект сделать средствами pfSense

глянь это Ссылка
Автор: Mifotvorets
Дата сообщения: 07.07.2013 15:36
[more] Здравствуйте. Присутствует вот такая проблема:

есть сервер, на него установлен Hyper-V 2012, на котором несколько виртуальных машин. сервер имеет 2 сетевых интерфейса, на одном из них через виртуальный свитч висят в сети все виртуальные машины, на второй планируется подключить модем и через pf раздавать интернет на сеть.
на данный момент модем выполняет функции шлюза сам, посредством pf я хочу прекратить это неконтролируемое безобразие.
загвоздка заключается в том, что после установки pf на виртуальную машину я не могу к нему подключиться из сети. из консоли pf машины в сети также не пингуются. устанавливал по вот этому мануалу: http://macrodmin.blogspot.com/2011/11/ustanovka-pfsense.html
все компьютеры находятся в сети 192.168.1.*/24, модем (он же шлюз) имеет адрес 192.168.1.2, LAN pf устанавливаю 192.168.1.227/24

UPD: забыл добавить, pf не видно ни физическим машинам из реальной сети, ни виртуалкам, висящим та том же виртуальном свитче, что и LAN pf.

подскажите пожалуйста, в какую сторону копать? (в сторону гугла копал и продолжаю) [/more]
Автор: golge2
Дата сообщения: 22.07.2013 21:25
разнеси подсети. Прокси не делает проброс на другой адрес из той же сети.
к примеру.
LAN pf - 192.168.1.227/24
WAN pf - 192.168.2.2/24

модем (он же шлюз) имеет адрес 192.168.2.1
тогда заработает.
Автор: SAVage22
Дата сообщения: 22.07.2013 22:47
Локализация pfSense http://forum.pfsense.org/index.php/topic,63298.0.html
Автор: urodliv
Дата сообщения: 22.07.2013 23:02
SAVage22
Так вы в шапку это тиснули бы.
Автор: SaintZyo
Дата сообщения: 08.08.2013 17:35
Добрый день всем!
Столкнулся с такой проблемой: в Traffic Shaper/Limiter создаю лимиты для пользователей. Создав 30 лимитов, 31 выдает ошибку "The following input errors were detected: At least one bw specification is necessary", типа я не ввел ширину канала.
Сижу на 2.1 RC1. Это ограничние в 30 или бок пф?
Заранее спасибо.
Автор: krylou
Дата сообщения: 20.08.2013 15:26

Цитата:
[/q]
[q]Здравствуйте. Присутствует вот такая проблема:
 
есть сервер, на него установлен Hyper-V 2012, на котором несколько виртуальных машин. сервер имеет 2 сетевых интерфейса, на одном из них через виртуальный свитч висят в сети все виртуальные машины, на второй планируется подключить модем и через pf раздавать интернет на сеть.
на данный момент модем выполняет функции шлюза сам, посредством pf я хочу прекратить это неконтролируемое безобразие.
загвоздка заключается в том, что после установки pf на виртуальную машину я не могу к нему подключиться из сети. из консоли pf машины в сети также не пингуются. устанавливал по вот этому мануалу: http://macrodmin.blogspot.com/2011/11/ustanovka-pfsense.html
все компьютеры находятся в сети 192.168.1.*/24, модем (он же шлюз) имеет адрес 192.168.1.2, LAN pf устанавливаю 192.168.1.227/24
 
UPD: забыл добавить, pf не видно ни физическим машинам из реальной сети, ни виртуалкам, висящим та том же виртуальном свитче, что и LAN pf.
 
подскажите пожалуйста, в какую сторону копать? (в сторону гугла копал и продолжаю)


Я бы еще обратил внимание на настройки Hyper-V. Hyper-V может использовать паравиртуализацию, либо с ограниченными возможностями аппаратную виртуализацию (Эмулируются контроллеры дисков IDE PIIX4 и PCI Ethernet адаптер DEC 21140 Tulip) . Для полноценного использования в режиме паравиртуализации тебе нужно поставить дрова в pfsense для корректной паравиртуализации под сетевую и диски.
Автор: Road Runner J
Дата сообщения: 15.09.2013 15:59
2.1 зарелизили
2.1 release
Автор: Pvitalik
Дата сообщения: 15.09.2013 16:00
pfSense 2.1-RELEASE now available!

http://blog.pfsense.org/?p=712

iSO-шники тут -
http://mirror.ancl.hawaii.edu/pub/pfSense/downloads/
либо тут -
http://distrowatch.com/?newsid=08052
Автор: iloy
Дата сообщения: 10.10.2013 09:40
pfSense под Hyper-V 2008R2

настройка

http://knowledge.zomers.eu/pfsense/Pages/Install-pfSense-on-Windows-2008-Hyper-V-server.aspx

ifconfig de0 down
ifconfig de0 up
ifconfig de1 down
ifconfig de1 up
dhclient de0

скрипт
/usr/local/etc/rc.d/interfaces.sh

выполняется при загрузке, но нифига не работает, приходится запускать вручную...

после выполнения получаем

....
DHCPACK from (Gateway провайдера)
bound to XX.XX.XX.XX (выданный ip) -- renewall in 300 seconds


т.е. каждые 5 мин. происходит обновление от провайдера по DHCP и коннект отваливается до повторного запуска /usr/local/etc/rc.d/interfaces.sh

как это побороть или убрать renewall in 300 seconds?
Автор: SergeSerge3leo
Дата сообщения: 10.10.2013 12:56

Цитата:
убрать renewall in 300 seconds?

Попросить провайдера изменить это число или выдать статический адрес.

Или таки RTFM, это не модно, читать, но один из ключиков тебе может помочь. Угадай какой?
<http://www.freebsd.org/cgi/man.cgi?query=dhclient&apropos=0&sektion=0&manpath=FreeBSD+8.3-RELEASE&arch=default&format=html>

P.S.

У тебя какая версия?
Автор: iloy
Дата сообщения: 10.10.2013 14:57

Цитата:
Попросить провайдера выдать статический адрес.


статический адрес выдан, но без команды
dhclient
увы, ничего не работает (

upd

с статическим все заработало...
но не без пинания провайдера ))


Цитата:
это не модно, читать


читать модно и поиском пользоваться тоже, было бы когда...

pfSense 2.1 RELEASE amd64
Автор: SergeSerge3leo
Дата сообщения: 11.10.2013 16:58

Цитата:
статический адрес выдан, но без команды
dhclient
увы, ничего не работает (
 
upd
 
с статическим все заработало...
но не без пинания провайдера ))  
Ну и ладненько? А то иезуитство какое-то, каждые 5 минут требовать обновления и выдавать один и тот же адрес.

Цитата:
читать модно и поиском пользоваться тоже, было бы когда...  
Всякие советы по Интернет найти есть когда, а man - некогда.

А-а-а, все в наше время, криворукие, ленивые и жадные. Куда катится мир?

Если бы прочёл, то бы узнал:dhclient - хитрый демон, он должен уходить в фон и продолжать поддерживать DHCP;
у него есть настройки отладки и протоколы, по которым можно было бы узнать что не поделили два экземпляра, которые ты запустил;
разовые операции он делает не сам, поэтому для разовых костылей лучше пользоваться не им.

Цитата:
pfSense 2.1 RELEASE amd64
Стало быть, правильно, FreeBSD 8.3.

man здесь: http://www.freebsd.org/cgi/man.cgi?query=dhclient&apropos=0&sektion=0&manpath=FreeBSD+8.3-RELEASE&arch=default&format=html
Автор: duh_S
Дата сообщения: 18.10.2013 14:06
добрый день, подскажите:

имеется в наличии такая рабочая схема:
voip шлюз ap1005 (wan порт с реальным ip) - роутер fbr-4000 (wan порт с реальным ip) - voip шлюз ap700 (wan порт с локальным ip)

voip шлюз ap1005 пробрасывает 4ре телефонные линии через роутер на другой voip шлюз ap700
в роутере прописано всего 2 правила nat (virtul server):
tcp 1720 на wan_ap700
udp 23000-24999 на wan_ap700

в самом ap700 прописан только маршрут 0.0.0.0/0.0.0.0 lan_fbr-4000

нужно вместо fbr-4000 поставить pfsense

соответственно в ap700 меняем маршрут 0.0.0.0/0.0.0.0 lan_pfsense

а в pfsense создаем firewall - nat - Port Forward

WAN_provider1 TCP * * WAN_provider1 net 1720 wan_ap700 1720
WAN_provider1 UDP * * WAN_RESURS net 23000 - 24999 wan_ap700 23000 - 24999

и дополнительно 2 правила в Firewall - Rules - lan:
IPv4 TCP LAN net * * 1720 *
IPv4 UDP LAN net * * 23000 - 24999 *

НО, если звонить со стороны ap1005 то с ap700 соединение происходит, но в слышно только со стороны ap1005 то что говорят со стороны ap700, а наоборот - не слышно
Автор: ORGaniZM
Дата сообщения: 09.01.2014 06:29
доброго всем! Правильно ли я понял отсюда, что поддержка wifi-карточек на Atheros AR9300 ещё не реализована?
Цитата:
AR9300/AR94xx/AR95xx support | In progress | Driver support is in-tree; the HAL is open source and in the tree

Была попытка с моей стороны перейти на сабж с IPCop, но указанная pci-e карточка не определилась - пришлось откатиться.
Автор: gr0mW
Дата сообщения: 09.01.2014 13:14
Правильно. Но если смотреть поддерживается ли железо в pfsense, то надо знать версию FreeBSD на которой он собран. Для pfsense 2.1 это FreeBSD 8.3. Для WLAN http://www.freebsd.org/releases/8.3R/hardware.html#WLAN
Автор: ORGaniZM
Дата сообщения: 10.01.2014 05:03
gr0mW
спасибо. Так и есть. Побородили с переходом на сабж значит.
Автор: Pvitalik
Дата сообщения: 24.01.2014 11:33
Hi folks,

Some updates on the latest happenings with the project. 2014 is off to
a great start.

We have 2.1.1-PRERELEASE snapshots available at
http://snapshots.pfsense.org. The list of changes since 2.1-RELEASE
can be found here:
https://doc.pfsense.org/index.php/2.1.1_New_Features_and_Changes
We welcome testing and feedback on the 2.1.1 board on the forum.
https://forum.pfsense.org/index.php/board,56.0.html

The pfSense Store launched in late December, bringing an official
source for pre-installed hardware, as well as merchandise including
shirts, stickers and USB flash drives. Get yours today!
https://store.pfsense.org/

Our monthly hang out for Gold and Support Subscribers is coming this
week. You can find the details on the blog.
https://blog.pfsense.org/?p=1172

Thanks for your support!

Chris Buechler
Co-founder, pfSense

быть может у кого-нибудь достойнейшего есть доступ по этой ссылке, чтобы выложить сюда эту книжечку:
https://portal.pfsense.org/book/pfSense-book-21draft.pdf
Автор: tydfgr
Дата сообщения: 02.02.2014 05:34
Не пинайте сильно, я не админ а программер контроллеров, однако тут на тыщу верст, другого специалиста нет. Приходиться браться за несвойственные задачи. Была циска 2800 серии. Сгорела от удара молнии. Поставил временно, а может постоянно Pfsense. Интернет работает нормально. Проблема с телефонами. Есть удаленная АТС, на CUCM на нашу площадку туннель. Думаю GRE, в общем GRE заработал. Вижу АТС и телефоны на других площадках. Мои телефоны к АТС коннектятся, скачиваются настройки. Звонок идет. Речь, между двумя телефонами на моей площадке - тоже. Звоню на внешнюю линию, меня слышат, а я не слышу никого. Как такое может быть? Шейпер пока не трогал. Может надо сконфигурировать шейпер? Как с цисковского конфига перевести на pfsensовский?

Кусок конфига cisco скрыл под#


Вот это в описании интерфейса туннеля, как я понимаю красить до туннеля
qos pre-classify
Может ли это pfsense?

Оттуда же, как сделать на pfsense?
keepalive 10 3

Это с WAN интерфейса
service-policy output AutoQoS-Policy-UnTrust

Да, еще когда была циско, нельзя было из vlana компьютеров, смотреть телефоны. Сейчас же из одного vlan в другой рутится http. Понимаю, что могу запретить это правилами файрвола, но на циске таких правил не было. Совершенно разные подсети в разных вланах, как такое происходит?
Автор: aleksvolgin
Дата сообщения: 02.02.2014 09:40

Цитата:
Была циска 2800 серии. Сгорела от удара молнии.

Возьмите лучше микротик.
Автор: tydfgr
Дата сообщения: 02.02.2014 13:25
Лучше чего? Лучше Cisco или pfsense? Чем лучше? Не сгорит от удара молнии? Каждую грозу у нас сгорает масса оборудования, потом жди пока циску новую купят, месяц пройдет, а то и три. Думаю майкротик будут покупать два года. По заявке, срок поставки оборудования из России примерно такой получается.
Автор: SergeSerge3leo
Дата сообщения: 03.02.2014 00:44
tydfgr
Цитата:
Мои телефоны к АТС коннектятся, скачиваются настройки. Звонок идет. Речь, между двумя телефонами на моей площадке - тоже. Звоню на внешнюю линию, меня слышат, а я не слышу никого.
Аудиопоток идёт между телефонами, поэтому на твоей площадке всё ОК. А пакеты от внешних линий (телефонов) куда-то деваются, либо фильтруются, либо ты вообще тупо NAT настроил, вот ты и не слышишь их. А пакеты к внешним линиям нормально уходят и доставляются, поэтому тебя слышат.

Цитата:
Шейпер пока не трогал. Может надо сконфигурировать шейпер?
Явно не в этом дело.
Автор: tydfgr
Дата сообщения: 03.02.2014 02:20
Цитата:
Шейпер пока не трогал. Может надо сконфигурировать шейпер?
Явно не в этом дело.

Точно в этом. Сегодня на удивление был хороший интернет, речь было слышно в обе стороны. Провайдер говно спутниковое африканское. Помогите кто может, перевести настройки шейпера с цисковского на пфсенсовский. Потом все равно буду долбить провайдера, чтобы дал сиптранк или ooh323 на астериск.
Автор: Viagrafik
Дата сообщения: 15.02.2014 09:06
Если успели выкачать pfSense book 21draft - будьте так добры, перезалейте куда-нибудь (оригнальные ссылки не работают).

Страницы: 12345678910111213141516

Предыдущая тема: ошибка пароля для WiFI сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.