» pfSense межсетевой экран

Цитата:

Второй (а также третий, четвёртый, и т.д.) IP на любом интерфейсе прописывается так:
1) выгрузить конфиг
2) найти секцию интерфейса, добавить ещё один <ipaddr> (или как его там)
3) загрузить конфиг

Уважаемый VitRom, а через веб морду -это как сделать (в «pfSense 1.2.3»)

Цитата:

а через веб морду -это как сделать (в «pfSense 1.2.3»)

Написано же "выгрузить", значит никак. Выгружаете .xml файл конфига и далее по тексту.

Цитата:

Написано же "выгрузить", значит никак. Выгружаете .xml файл конфига и далее по тексту.

выгрузил- и куда писать (вставлять) запись об втором <ipaddr> (192.168.1.200)?

    
Код: </system>
    <interfaces>
        <lan>
            <if>xl1</if>
            <ipaddr>192.168.1.100</ipaddr>
            <subnet>24</subnet>
            <media/>
            <mediaopt/>
            <bandwidth>100</bandwidth>
            <bandwidthtype>Mb</bandwidthtype>
        </lan>
        <wan>
            <if>xl0</if>
            <mtu>1500</mtu>
            <blockpriv/>
            <blockbogons/>
            <media/>
            <mediaopt/>
            <bandwidth>100</bandwidth>
            <bandwidthtype>Mb</bandwidthtype>
            <spoofmac/>
            <disableftpproxy/>
            <ipaddr>dhcp</ipaddr>
            <dhcphostname/>
        </wan>
    </interfaces>
    <staticroutes/>
    <pppoe>
        <username/>
        <password/>
        <provider/>
    </pppoe>
    <pptp>
        <username/>
        <password/>
        <local/>
        <subnet/>
        <remote/>
        <timeout/>
    </pptp>
    <bigpond>
        <username/>
        <password/>
        <authserver/>
        <authdomain/>
        <minheartbeatinterval/>
    </bigpond>
    <dyndns>
        <type>dyndns</type>
        <username/>
        <password/>
        <host/>
        <mx/>

по-моему, в 1.2 это тоже было, называлось Configuration Backup

а вставлять <ipaddr> вполне логично рядом с уже имеющимся
вот только два адреса из одной сети (.1.100 и .1.200) не прокатят, сети д.б. разные

Добавлено:
т.е. один интерфейс должен быть с двумя (или более) адресами из разных сетей (.1.100 и .2.100), а все остальные параметры интерфейса одинаковы.

Добавлено:
согласно http://doc.pfsense.org/index.php/Configuration_Backup_and_Restore это есть и в 1.2.3,
Diagnostics > Backup/Restore, Download Configuration
отличие от 2.х только в том, что выгружается весь конфиг целиком, а в 2 можно выбирать области

Цитата:

а вставлять <ipaddr> вполне логично рядом с уже имеющимся
вот только два адреса из одной сети (.1.100 и .1.200) не прокатят, сети д.б. разные

странно что в «pfSense 1.2.3» это не прокатит
-хотя в всеми ругаемой оси Windows такое прокатывает (192.168.1.100-192.168.1.200 и 192.168.1.100-192.168.2.100)...
хоть ТРИ IP адреса на одной физической сетевухи прописывай



Кстати, ещё на заметку интересное инфо про xml файл:
http://s017.radikal.ru/i409/1112/fb/5995a7eb7852.png

а vr0 это че за фирма?)

Цитата:

а vr0 это че за фирма?)

Вроде D-link`овские чипы так обозначались.

Цитата:

странно что в «pfSense 1.2.3» это не прокатит - хотя в всеми ругаемой оси Windows

вообще-то -- тоже прокатит.
просто не рекомендуется.
потому что маршрутизация, для чего сабж предназначен, происходит между сетями.
и избыточности оно не даёт, потому что для неё нужно несколько карт.

Цитата:

вообще-то -- тоже прокатит.
просто не рекомендуется.

Ну раз не рекомендуется, то что получится если использовать ЧЕТЫРЕ физических сетевые карты:
( см. схему: http://s018.radikal.ru/i521/1209/c6/c0a2cb7b73c6.jpg )

Тогда моя задумка получится?
3) юзеры во внутренней сети в сетевой карте в свойстве протокола TCP/IP меняют ШЛЮЗ И DNSки- таким способом они могут выбирать через какого интернет провайдера им выходить в инет "1" или "2"

Напоминаю, я хочу реализовать в сети ТРИ вещи:
http://forum.ru-board.com/topic.cgi?forum=8&topic=33373&start=160#10

aleksvolgin

НЕТ не работал.....поэтому и желания менять на 2.0 не хотелось...вернул обратно 1.2.3 и все шуршит очень хорошо

Добавлено:
Barin1

КОРОЧЕ заходишь в интерфейсы и нажимаешь добавить еще один....выбираешь сетевку свою которая смотрит в локалку и у тебя добавляется OPT1 точно такой же как и ЛАН.... и второй айпи можешь забить в него... и все работает замечательно

Добавлено:
что то типа того должно получиться:

</system>
<interfaces>
<lan>
<if>xl1</if>
<ipaddr>192.168.1.100</ipaddr>
<subnet>24</subnet>
<media/>
<mediaopt/>
<bandwidth>100</bandwidth>
<bandwidthtype>Mb</bandwidthtype>
</lan>
<opt1>
<if>xl1</if>
<ipaddr>192.168.2.100</ipaddr>
<subnet>24</subnet>
<media/>
<mediaopt/>
<bandwidth>100</bandwidth>
<bandwidthtype>Mb</bandwidthtype>
</opt1>
<wan>
<if>xl0</if>
<mtu>1500</mtu>
<blockpriv/>
<blockbogons/>
<media/>
<mediaopt/>
<bandwidth>100</bandwidth>
<bandwidthtype>Mb</bandwidthtype>
<spoofmac/>
<disableftpproxy/>
<ipaddr>dhcp</ipaddr>
<dhcphostname/>
</wan>
</interfaces>

Добавлено:
Barin1

если хочешь то можешь скинуть полный конфиг своего сервака....поправлю конфиг что бы появился второй интерфейс и скину обратно тебе...только напиши какие айпи тебе нужна на втором интерфейсе

Barin1
ну вроде должно так сканать, но надо маршруты статические будет прописать чтоб запросы например с интерфейса 192,168,1,200 шли на интерфейс интернет 1, и с интерфейса 192,168,1,100 - на интернет 2.
Иначе не сработает твоя схема.

Цитата:

<interfaces>
<lan>
<if>xl1</if>
<ipaddr>192.168.1.100</ipaddr>
<subnet>24</subnet>
<media/>
<mediaopt/>
<bandwidth>100</bandwidth>
<bandwidthtype>Mb</bandwidthtype>
</lan>
<opt1>
<if>xl1</if>
<ipaddr>192.168.2.100</ipaddr>
<subnet>24</subnet>
<media/>
<mediaopt/>
<bandwidth>100</bandwidth>
<bandwidthtype>Mb</bandwidthtype>

vit2002, мы уже об этом говорили с VitRom
(см. ссылку: http://forum.ru-board.com/topic.cgi?forum=8&topic=33373&start=180#5)
нужно чтоб на одном LANe был 192.168.1.100-192.168.1.200 а не 192.168.1.100-192.168.2.100


Добавлено:

Цитата:

но надо маршруты статические будет прописать чтоб запросы например с интерфейса 192,168,1,200 шли на интерфейс интернет 1, и с интерфейса 192,168,1,100 - на интернет 2.
Иначе не сработает твоя схема.

Tim2000, вот с этого места по подробнее, где маршруты статические прописать- у юзеров? Или на серваке с pfSense

Barin1
у пользователей прописать шлюз\прокси, а на сенсе маршруты

Barin1

ПОФИК.... это айпи НА КОТОРОМ слушается сеть....можешь писать какие хочешь.....
тебе написал саму схему как прописывать....какой айпи ЗНАЧЕНИЯ НЕ ИМЕЕТ....

просто твой сервер тогда будет иметь типа 2 сетевки но знать только одну подсеть...вот и все

Добавлено:

Цитата:

но надо маршруты статические будет прописать чтоб запросы например с интерфейса 192,168,1,200 шли на интерфейс интернет 1, и с интерфейса 192,168,1,100 - на интернет 2.
Иначе не сработает твоя схема.

нужно будет на сервере завернуть весь трафик от юзера1 с айпи 192,168,1,23 например через инет1
а юхера2 с айпи 192,168,1,25 через инет2

что то типа
192,168,1,23/32 через eth1
192,168,1,25/32 через eth2

eth это провайдер а цифра это и так понятно



Добавлено:
хотя нужно смотреть...возможно можно указать что если пакет приходит на такой то айпи то отправить в этот канал....если на другой то в другой...


сейчас не помню но скорей всего можно так рульнуть..и не придется перекидывать никого...все будет на автомате

vit2002

Цитата:

нужно будет на сервере завернуть весь трафик от юзера1 с айпи 192,168,1,23 например через инет1
а юхера2 с айпи 192,168,1,25 через инет2

Так это на порядок геморнее, чем я предложил.
Другой вопрос как это позволит реализовать сам сенс.

Tim2000

зато правильней и в будущем намного облегчит жизнь

Добавлено:
Tim2000

с твоей схемой необходимо следить за юзером и когда тот сменил шлюз себе нужно его айпи на сервере перебрасывать на другой канал....а в моем варианте это разбирается само на основании куда пришле пакет.

vit2002

Цитата:

когда тот сменил шлюз себе нужно его айпи на сервере перебрасывать на другой канал

с чего это? в том и дело, что ничего не надо на сенсе будет делать.

Tim2000

да? ну завернешь ты по айпи в определенный канал. потом клиент сменит шлюз и как результат у него должен смениться провайдер. НО при твоей схеме пока ты ручками не завернешь его айпи в другой канал ничего не будет.... точнее будет бузешь у клиента почему у него не сменился провайдер......
а если разбирать по интерфейсам как я сказал то при смене шлюза у клиента автоматом смениться и канал.....а ты об этом и не узнаешь пока не посмотришь конфиг.

vit2002
ты о чем вообще? еще раз, всё делается на сенсе:
1. все пакеты присланные на 192,168,1,100 отправлять на инет1
2. все пакеты присланные на 192,168,1,200 отправлять на инет2

и побарабану какой у юзверя айпишник, главное что у него шлюзом\прокси стоит

-del-

как пробросить порт в схеме
static ip 111.111.111.11модем (pppoe)192.168.88.254 ->192.168.88.252 pfsense 192.168.1.254 -> 192.168.1.10 комп,
на модеме порт проброшен
в нат правило написал
WAN     TCP     25 (SMTP)     192.168.1.10(ext.: 192.168.88.252)     25 (SMTP)     SMTP
не работает

Цитата:

на модеме порт проброшен

А вы уверены, что на модеме затыка нет?

Цитата:

в нат правило написал

А в правилах файервола соответствующее правило появилось?

А почему бы модем не перевести в режим "моста" и не поднимать рррое-сессию самим пифом?

на модеме нет затыка
правило есть
если перевести то точно знаю заработает
нужен модем в режиме роутер

Цитата:

на модеме нет затыка

Как проверяли?

Цитата:

нужен модем в режиме роутер

Если поставить машинку в подсеть 192.168.88.х пролезть через пифа сможем?
Почему не поставить версию пифа 2.0?

да на модем и сети доступ есть


Добавлено:
да на модем и сети доступ есть

ДД
вопрос: в PFS на файрволе есть возможность создать алиас и в него забить список URL с которго будет скачиваться файл текстовый например со списком IP, так вот как можно этот файл разместить не на стороннем вебсервере а на самом PFS и на него же и указывать путь в алиасе?

Цитата:

ДД
вопрос: в PFS на файрволе есть возможность создать алиас и в него забить список URL с которго будет скачиваться файл текстовый например со списком IP, так вот как можно этот файл разместить не на стороннем вебсервере а на самом PFS и на него же и указывать путь в алиасе?

а сразу в альясе нельзя указать список айпи? вроде бы он это позволяет

Сейчас, к своему удивлению, обнаружил что есть возможность автоматического обновления с версии 1.2.3 до версии 2.0.1. Но вот что то страшновато. Кто нибудь уже проворачивал сею процедуру, какие последствия ?

sandro_m16

части обновляется нормально....но некоторые моменты пришлось ручками править. хорошо что не по удаленке делал.

мое мнение если все работает и ничего нового не требуется то лучше не стоит обновлять

Добавлено:
sandro_m16

тем более и требования под 2 версию побольше будут...

Ребят, такая проблема:
Поднял OpenVPN, сделал авторизацию через AD, все работает. Проблема в том, что не могу настроить в "System: Authentication Servers" контейнер, с которого будут учетки смотреться. Группу в контейнере не видит. Что делать?