» pfSense межсетевой экран

BadAdmin
Пошагово тут не объяснишь, тут для каждого своё.
Вы хотя бы определитесь чего хотите. Что в вашем понимании ограничение прав?

ИМХО, у вас только 2 пути: 1 - курить весьма ахренительные объемы теории. 2 - попросить/нанять того кто уже выполнил пункт 1 и лучше бы с опытом настройки.

Есть конечно еще один недопункт - четко изложить задачи и возможно получить ссылки на конкретные мануалы, статьи и мб советы.

p.s. Вы так и не ответили, почему именно pfSense? Я не говорю, что он плохой или хороший, но такой чёткий выбор мне не понятен, тем более что вам всё-равно с чего начинать учиться...

Передо мной четко поставили задачу: поставить FreeBSD, настроить интернет шлюз... (вместо 2003 сервера и Ideco).. Насчет pfSense - её мне посоветовали тоже вышестоящие... сами же в ней ничего не понимают.. Вот.. Я еще не могу понять как тут Firewall настроить и VPN сервер... В общем, не понимаю ничего =(((

BadAdmin

Юзай более распостраненные дистрибутивы, или с русским языком, zentyal например, только по ресурсам требовательней.


Цитата:

Я еще не могу понять как тут Firewall настроить и VPN сервер

Тебе никто это объяснять не будет, для этого есть интернеты и форум продукта.

Нужно конкретно спрашивать, например у меня два интерфейса, eth0/eth1, один смотрит на провайдера, другой в локаль, у локальных пользователей нета нету/есть, но нет почты и т.д.

Спасибо. Сама понимаю, что чересчур длителен и трудоёмок процесс помощи)) Посмотрела на zentyal.. На русском гораааздо проще) Будем разговаривать с начальством..
Еще раз спасибо!!

2 BadAdmin девушко админ Оооо!

вам сюда Ссылка там мальчики отзывчивые, если откровенно тупить не будите - помогут.

1.а кто попробовал поднять openvpn сервер на pfsense с встроеным генератором сертификатов?
2. а в графически ражим редактирования squid -а немножко небогат.
вопрос вот какой..
можно ли редактироват squid.conf через шел, или только через веб?

и другой вопрос из сферы на будушее...
что посоветуете по поводу snort -а на pfsense-е?


спасибо

Цитата:

1.а кто попробовал поднять openvpn сервер на pfsense с встроеным генератором сертификатов?

Я. Всё заработало.

Цитата:

можно ли редактироват squid.conf через шел, или только через веб?

Можно. Правда файл, отвечающий за настройки сквида, может по-другому называться и лежать в другом месте. А-ля типа какой-нибудь xml.

ANTRAMABANAKAN

Цитата:

можно ли редактироват squid.conf через шел, или только через веб?

Вроде как можно-то можно, но через некоторое время он кажется перезаписывается.

а как быть если в config-е squid-a надо напистаь что то, что не возможно сделат через веб interface...
скажем создать фаилы с ip аддресами, для следуюшего исползования.

скажем для отделной групы ip аддресов ограничить размер скачивания и тд и тп
я попробовал редактировать squid.conf но онo не отразилось в web интерфейсе.

У пифа своя система конфигурационных файлов, поэтому логичнее ответ на ваш вопрос поискать на родном форуме. Там эту тему наверняка уже поднимали.

Ставили на диски SATA в течении 4-х часов . Обломинго .

JohnSilver182
Таки какую версию ставили-то?

urodliv
pfSense-1.2.3-RELEASE-LiveCD-Installer.iso.gz
pfSense-2.0-RC1-i386-20110226-1530.iso.gz

После долгих часов сношений еще и это

Make sure that the SATA dive is a SATA-1 (1.5Gb/s) drive. Then, please use our pfSense CD image to install. The image can be found at the following URL (for version 1.2.3):

http://support.hacom.net/pub/pfsense/pfHacom-1.2.3.iso

JohnSilver182
Аж интересно стало... Может быть ещё конфигу компа подбросите?

urodliv
Завтра кину (уже ушел где ставили)

Прошу содействия. На официальном форуме уже отписался, решил и тут посоветоваться.
Решил на этом продукте задействовать систему качества обслуживания. Для это решил потренироваться.
Что есть.
Виртуальная машина с двумя интерфейсами. Версия пифа 2.0-RC3. Внутренняя сеть состоит из двух машин: 1 (192.168.10.2) и 2 (192.168.10.8 ).
Что хочется.
Для начала хочу реализовать простую схему:
1) когда подключена любая из машин, то она получает весь канал;
2) когда обе машины работают вместе, то канал разделяется между ними в соотношении 4:1.
Что делал.
1. Создал три очереди ;
2. Создал правила классификации пакетов .
Результаты
1. В списке очередей появилась только одна дефолтная очередь ;
2. Соответственно весь трафик ходит только через неё.

Если использовать мастер, то нужные очереди создаются и появляются. Почему же у меня при ручном формировании очередей это не работает?

Добавлено:
Отбой. Проблему с очередями победили. Оказывается в имени очереди нельзя использовать тире...

А есть ли возможность из под консоли установить почтовый сервер postfix?
а то в дистрибутиве у pfsense только Postfix Forwarder

Цитата:

оф.сайт сообщает только об одной книге, которая в шапке. Откуда инфо о книге по 2,0???

вышла в марте 2011!!! в мягкой обложке на 252 страницах. На Амазоне можно посмотреть содержание
pfSense 2 Cookbook

Можно скачать здесь

rossel
Так странно, глюков еще впоряде, финальной версии нет, а уже книга..
Но, спасибо, добавил в шапку!

Есть проблема - pfsense 2.0-RC3 в настройках прокси игнорирует параметр "Bypass proxy for these source IPs".
Пробовал указывать и IP, и alias - ничего не воспринимается

Скриншоты настроек прокси:

Полное руководство по Open Source дистрибутиву брандмауэра и маршрутизатора. 2009г. by Christopher M. Buechler, Jim Pingle.
Перевод Михайлова Алексея (iboxjo), 2010г.

перевод не полный. но то что есть , весьма интересно.

varbasik
данке шён, добавил в шапку
Полистал, вроде про 1,2,3 разговор идёт. Если нет, поправьте меня.

тут спрашивали, я так решил:

Цитата:

1) когда подключена любая из машин, то она получает весь канал;
2) когда обе машины работают вместе, то канал разделяется между ними в соотношении 4:1.

у меня 7:3
hfsc
родительская очередь upper limit 10 mibs
дочерняя очередь для ушлого real time 7 mibs
дочерняя очередь для неушлого real time 3 mibs

добавлено после следующего поста: действительно без real time тоже работает

Road Runner J
Спасибо конечно за труды, но к чему вы мне это написали?

urodliv
Да я тут с красными глазами уже неделю сижу ваше правило никак не могу реализовать, по своему с 50 раза намутил вроде заработало, а теперь действительно без real time тоже работает. Игрался с процентами, немог понять логику.

Road Runner J
Короче. Я свою проблему разрулил. Сейчас машинка стоит и обслуживает говносеть на 60+ рабочих мест. Аптайм у неё уже 78 дней. И вроде недовольных нет (или я глухой ). Да и в параметрах шейпера я вроде разобрался. Так что если надо, то обращайтесь - покумекаем вместе.

Нашел перевод официальной книги по pfsense от Christopher M. Buechler

Главы доступны здесь http://shop.nativepc.ru/content/38-pfsense-oglav

alixfan
шапку четаем

Fader
пасиба!!!