Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» pfSense межсетевой экран

Автор: vertex4
Дата сообщения: 19.02.2016 10:11
anton04
попробуй сам поискать, по SSH подключись, /etc/inc grep'ом пройди, может и найдешь нужное
sheven
мало информации. где что и как настроено, в правилах что настроено?
Автор: anton04
Дата сообщения: 20.02.2016 11:17
vertex4

Да дело даже не в том чтоб найти какой файл отредактировать (нашёл несколько относящихся к DHCP), а дело в том что в php я полный ноль, поэтому и редактировать то не могу...

Думал кто уже делал что-то подобное...
Автор: gr0mW
Дата сообщения: 24.02.2016 15:41
To anton04


В pfsense статические адреса DHCP сервером должны назначаться ВНЕ ДИНАМИЧЕСКОГО ДИАПАЗОНА.
Почитайте Pfsense 2 Coolbook: Глава 2 Конфигурирование DHCP сервера


https://www.safaribooksonline.com/library/view/pfsense-2-cookbook/9781849514866/ch02s03.html
Автор: anton04
Дата сообщения: 24.02.2016 17:20
gr0mW

В курсе, на предыдущей странице мне ответили на этот вопрос. И там же указали что разработчики данный нюанс оставляют на рассмотрение пользователя и что если кому надо тот поправит это в ручную, но вот что поправить и как в этом то и загвоздка.
Автор: hochbar
Дата сообщения: 01.03.2016 09:37
на pfSense (FreeBSD) перенесли функцию DHCP сервера, половина компьютеров перестала получать адреса, выяснилось, что забивается файл var/dhcpd/dev и туда больше ничего не записывается. Как это решить?
Автор: StanislawK
Дата сообщения: 01.03.2016 09:43

Цитата:
половина компьютеров перестала получать адреса, выяснилось, что забивается файл var/dhcpd/dev


1) А сколько у вас компьютеров?

2) Покажи скрин

https://192.168.1.1/services_dhcp.php?if=lan
Автор: hochbar
Дата сообщения: 01.03.2016 09:50
Порядка 150 компьютеров в двух подсетях.
https://yadi.sk/i/_e_ZrO_Upj5xp
https://yadi.sk/i/Lg2CC35rpj65S
---------------
Компьютерную сеть в которой DHCP сервер на Windows 2003 (также является контроллером домена) раздавал адреса 172.18.80.х перевели на DHCP сервер pfSense работающий на FreeBSD как показано на рисунке. Автоматически адреса не получили пару компьютеров в сети в первый день, но в целом сеть работала нормально. Сегодня в понедельник с утра половина компьютеров в сети не могут получить IP адреса из-за некорректной работы DHCP сервера.
Автор: StanislawK
Дата сообщения: 01.03.2016 10:26
У твоего DHCP сервера кончились IP адреса. Все что было он выдал. Жди когда освободятся.

Ждать тебе 157680000 секунд.
это = 2 628 000 минут = 43 800 часов = 1825 дней = 5 лет.

Поставь по умолчанию.

Default lease time = 7200 (два часа)
Maximum lease time = 86400 (сутки).

После этого достаточно перезапустить службу DHCP.

Так же рекомендую в параметрах
WINS == windows PDC server. Это снимает многие проблемы с виндовыми компами.

Так же полезно настроить Dynamic DNS, чтобы он выданные адреса регистрировал на контроллере домена.
Автор: hochbar
Дата сообщения: 01.03.2016 10:48
Это значит через сутки компьютерам может быть переназначены IP адреса? Если так, то не подходит. У нас на многие компьютеры определенных сотрудников есть определенные завязки по разным сетевым программам и прочее. То есть выданный один раз адрес должен долго сохраняться за компьютером
Автор: StanislawK
Дата сообщения: 01.03.2016 12:57

Цитата:
Это значит через сутки компьютерам может быть переназначены IP адреса? Если так, то не подходит

Кратко: Да, может.


Цитата:
У нас на многие компьютеры определенных сотрудников есть определенные завязки по разным сетевым программам и прочее.


Ниже, пункт
DHCP Static Mappings for this interface.

указываешь MAC адрес "компьютера определенного сотрудника" и IP address. остальные поля оставляешь пустыми, он возьмет их из "общих" настроек DHCP.

Важная особенность: IP адрес не должен принадлежать выдаваемому пулу.

То есть если у тебя пул 10.105.8.10 - 10.105.8.200 то ты можешь выдавать фиксированно адрес 10.105.8.201 или 10.105.8.9 но не можешь 10.105.8.46

ЭТО НЕ СТРАШНО. нужно просто продумать пул резервируемых/фиксируемых адресов и пулы DHCP (их может быть несколько) .
например можно автоматически выдавать
10.105.8.10 - 10.105.8.20
10.105.8.50 - 10.105.8.52
10.105.8.71 - 10.105.8.92
10.105.8.180 - 10.105.8.200

а фиксировать из диапазонов пула
10.105.8.2 - 10.105.8.9
10.105.8.21 - 10.105.8.49
10.105.8.53 - 10.105.8.70
10.105.8.92 - 10.105.8.179
10.105.8.201 -10.105.8.254
Автор: hochbar
Дата сообщения: 01.03.2016 14:18
вот файл нашли devfs , 100% забит, размер 1 кб !!!!! , как его размер увеличить? Ведь владельцем является программа pfSense.

Добавлено:
решили. Удалили файл dhcp.leases и включили использование RAM диска. Работает
Автор: ssgorbunkov
Дата сообщения: 03.03.2016 14:58
Добрый день. Прошу совета. Сушествуют 4 подсети с разными ip диапазонами. 1 подсеть серверная, 3 других - рабочие станции. Нужно их собрать, так, чтобы компы подсетей рабочих станций друг друга не видели, но все видели серверную подсеть. Подойдет ли для этого pfSense, мощъность железа, на котором будет стоять pfSense?
Если можно, пример, как настраивать.
Автор: anton04
Дата сообщения: 03.03.2016 15:10
ssgorbunkov


Цитата:
Подойдет ли для этого pfSense


Да подойдёт, пропишите Vlan`ы.


Цитата:
мощъность железа, на котором будет стоять pfSense?


мощность

Всё зависит от количества обслуживаемых соединений.
Автор: ssgorbunkov
Дата сообщения: 03.03.2016 15:18
Это можно реализовать только Vlan ами? Т.е. установлены 4 физические сетевые карты. На каждой свой VLAN? Может ткнете, где описано подобное? Как ограничить доступ друг от друга VLAN ами я понимаю, а как сделать, чтобы они все видели одну подсеть я не понимаю
Автор: anton04
Дата сообщения: 03.03.2016 15:32
ssgorbunkov


Цитата:
Это можно реализовать только Vlan ами?


Ну, а как вы ещё хотите ограничить!? Можно конечно разным компам разные диапазоны IP адресов и разные маски подсети, но где гарантия что кто-то на компе не пропишет IP адрес который ему надо и не получить к нужной подсети не авторизованный доступ?

Поэтому только Vlan`ы.


Цитата:
Может ткнете, где описано подобное?


без понятия, ищите на форуме или в поисковике... достаточно много статей по pfSense.
Автор: SatelitMn
Дата сообщения: 15.04.2016 15:37
Добрый день. Ребята, обновите шапку - релизнулась версия 2.3
Автор: fly_house
Дата сообщения: 18.04.2016 11:11
Выручайте, если у кого образ pfSense-memstick-2.2.6-RELEASE-i386.img.gz залейте пожалуйста на файлообменник.
Автор: StanislawK
Дата сообщения: 18.04.2016 11:21
залил.

http://files.nl.pfsense.org/mirror/downloads/old/
Автор: fly_house
Дата сообщения: 18.04.2016 13:52
StanislawK
Благодарю, спас )

Добавлено:
Будьте аккуратны с обновлением 2.2.6 -> 2.3. Если ставили freebsd ports, то они работать скорее всего не будут. А отката обратно нет.
Автор: dirar01
Дата сообщения: 21.04.2016 13:20
Добрый день!
Не открывается сайт e-disclosure.ru. Ни через squid, ни через NAT. Другие сайты открываются.
Сам сайт рабочий. Проверял с телефона. Сайт пингуется.
Автор: ArabiQ
Дата сообщения: 14.05.2016 14:52
Установил pfsense 2.3.1
И теперь если браузером с внешнего IP по нему стукнуть, то открывается это:
http://i5.imageban.ru/out/2016/05/14/7da980401740ba082cc52da943bb0a75.png

Получается у меня 80 порт открыт?
На pfsense 2.2.6 такого не было.

Как закрыть с внешки порт ?
Автор: StanislawK
Дата сообщения: 16.05.2016 08:30
ArabiQ

Цитата:
Получается у меня 80 порт открыт?
На pfsense 2.2.6 такого не было.

Как закрыть с внешки порт ?

Для начала покажи все правила firewall.
правила для WAN
правила для LAN

и что это за NGINX ?
Автор: ArabiQ
Дата сообщения: 16.05.2016 16:20
Прошу прощение. Оказывается все в порядке.
Не по тому ip стучал.
Автор: BigElph
Дата сообщения: 19.05.2016 12:26
у кого-нибудь 2.3 живет на XenServere? у меня 2.2.х не заработала нормально, производительность была очень низкая, 2.1.5 живет ровно
Автор: tondaho
Дата сообщения: 27.05.2016 23:23
Доброго времени!

А кто-нибудь с suricata работал в pfSense? Есть некоторые вопросы...
Автор: Angel_19
Дата сообщения: 08.06.2016 22:08
Пакет pfBlockerNG v2.0 для каких целей нужен?

Можно ли что-то использовать взамен Suqid, если нужна просто блокировка нежелательных сайтов?
Автор: shystrik
Дата сообщения: 14.06.2016 13:58
Подскажите, не получается настроить доступ через NAT к IP-камере D-link DCS-932L после переустановки pfSense 2.1.3, до этого без проблем. По локалке естественно доступ есть. Пробовал RDP, сразу заработал. Порт на камере изменен 8085.

Скрины правил:
NAT - http://imageban.ru/show/2016/06/14/6151ce6c0b8e7e63deafbe79a7e71cbb/png
Rules WAN - http://imageban.ru/show/2016/06/14/bb29af2c8c3b1b69324422dd365bd828/png
Rules LAN - http://imageban.ru/show/2016/06/14/67d718fe03bf95bf7a31131e92890655/png

Diagnostics: Show States
tcp     192.168.1.1:8085 -> 192.168.1.3:8085     FIN_WAIT_2:FIN_WAIT_2     
tcp     192.168.1.3:8085 <- WAN IP:8085 <- МОЙ IP:63359     CLOSED:SYN_SENT     
tcp     МОЙ IP:63359 -> 192.168.1.3:8085     SYN_SENT:CLOSED
Автор: mxzoommax
Дата сообщения: 21.07.2016 07:20
shystrik
Попробуйте использовать в proto tcp/udp вместо tcp.
Автор: DuDu2
Дата сообщения: 22.07.2016 12:50
shystrik
а у вас в настройках камеры прописан адрес шлюза??
Автор: RUBOP
Дата сообщения: 22.08.2016 09:24
Здравствуйте. Такой вопрос, какой синтаксис регулярок, используется pfSense? Попытался ловить некоторые сайты таким выражением:
(^ad\w{0,4}\.\w+\.\w{1,5})

Проверял на сайте regex101.com, там отрабатывает нормально. Для проверки, вхожу на сайт adv.medlead.ru - блокировка не срабатывает. В чем может быть проблема?

Страницы: 12345678910111213141516

Предыдущая тема: ошибка пароля для WiFI сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.