pfSense Support Subscription

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - dvserg

Pages: [1] 2 3 4 5 ... 354
1
Russian / Re: Хитрый маршрутизор
« on: April 18, 2016, 01:34:30 am »
Можно сделать так:
- первое правило (можно с алиасом) посылает на сервер А всех, кто в нём указан (в алиасе Src)
- второе правило безусловно посылает всех на В

По поводу "что-то типа аутентификации" не скажу.

2
Russian / Re: qLink
« on: April 08, 2016, 01:18:38 am »
Ну скорее всего так и есть. Сумма ширины дочерних очередей должна быть не больше ширины родительской очереди.

3
Russian / Re: Удаленное администрирование
« on: March 18, 2016, 01:27:40 am »
Народ, задам более правильный вопрос под название темы  ;D
Можно ли на pfsense далённо (ssh) активировать/деактивировать правило фаервола? Или добавлять/удалять правило?
Ну или как это всё делать из консоли, а не web?

Из консоли можно управлять правилами через pfctl https://www.freebsd.org/cgi/man.cgi?query=pfctl&sektion=8
Но после перезагрузки или при сохранении данных из веб интерфейса все эти изменения будут затёрты данными вебинтерфейса.

4
Доброе, Werter!
Проблема решилась. Вот что я сделал для его решения:
1. удалил файл /var/dhcpd/var/db/dhcpd.leases.
2. в System: Advanced: Miscellaneous включил использование RAM Disk.
3. также уменьшил время аренды (2 часа. не знаю, насколько это правильно, но пока все работает)

...

Вы предлагаете, при переустановке увеличить раздел /var?


Возможно разрешения на файл dhcpd.leases слетели?
В настройках случаем нет никаких опций "сохранять файл dhcpd.leases" ?
В каких настройках? Объясните, пожалуйста, чуть подробнее. Не могу ничего понять.


Думаю, посмотрите в System, возможно где-нибудь есть настройка что-то типа "сохранять данные DHCP leases".
Может быть данные leases сохраняются на диск из RAM диска при перезагрузке  и это ведёт к раздуванию файла dhcpd.leases
Как вариант.


5
Доброе, Werter!
Проблема решилась. Вот что я сделал для его решения:
1. удалил файл /var/dhcpd/var/db/dhcpd.leases.
2. в System: Advanced: Miscellaneous включил использование RAM Disk.
3. также уменьшил время аренды (2 часа. не знаю, насколько это правильно, но пока все работает)

...

Вы предлагаете, при переустановке увеличить раздел /var?


Возможно разрешения на файл dhcpd.leases слетели?
В настройках случаем нет никаких опций "сохранять файл dhcpd.leases" ?

6
Russian / Re: сбрасывается конфиг Squida
« on: March 02, 2016, 12:54:42 am »
Вебморда переписывает конфиг сквида заново. Все ручные изменения теряются.

7
Можно обойтись и без pfSense.
Кинетик (любой другой роутер с кастомной прошивкой OpenWRT/Tomato) + сервис фильтрации DNS (ЯндексDNS, SkyDNS) с фильтрацией по категориям.

8
Russian / Re: Закон о раздаче бесплатного Wi-Fi
« on: February 25, 2016, 01:32:44 am »
Мне кажется это не тот форум, на котором помогут решить данный вопрос. К pfSense это практически никак не относится.

9
Доброго времени суток.
Обновился до версии 2.2 соответственно обновился squid до версии 3.4.10_2 pkg 0.2.6 и squidguard до 1.4_7 pkg v.1.9.10.
Squid работает. SquidGuard тоже выполняет свои функции, но перенаправление при блокировке не работает.

Настройки на скрине:


Вместо заданного мной сайта ukr.net получаю вот такое


Подскажите в чем может быть причина?

Похожая же проблема, кто-то решил что это?
ставлю deny на группу drugs (например) сайтов. пробую переходить на сайт -

При получении URL http://192.168.111.20/sgerror.php? произошла следующая ошибка

Соединение с 192.168.111.20 не удалось

Система вернула: (60) Operation timed out

в логах скидгуарда запись
Request(default/blk_BL_drugs/-) vital GET REDIRECT

я так понимаю должно быть что-то типа "заблокировано потому как входит в такую-то группу запрета"
как исправить подскажите плиз?

Это означает, что запрос успешно отфильтрован, но попытка показать страницу ошибки не удалась. У пользователя нет доступа к 192.168.111.20 порт 80. Возможно порт GUI PFSense висит не на 80 порту.

10
Russian / Re: Шейпинг трафика
« on: February 15, 2016, 11:55:49 pm »
Коллеги, и все же.
Оч. бы хотелось пример настроек limiter-а именно во Floating rules.
Реальный. Живой.

Спасибо большое заранее.
Так и не понял в чем может быть проблема применения limiter в Floating.
Главное правильно выбрать направление - обычно in. Выбрать правильно лимитеры для In/Out - обычно это source/destination.
Без опции quick правила pass не тестировал ни разу (поскольку "Default block all" - рисковать не люблю, хотя оно вроде одним из первых идет).
Предпочитаю все-таки выставлять c limiter правила на самих интерфейсах - нагляднее контролировать доступ в сети.
На сколько я понимаю, в FLoating для шейпера правила делаются БЕЗ опции Quick. Правила должны быть разрешающими. Задача этих правил не ограничивать/фильтровать пакеты, а переместить их в нужную очередь. Фильтрация идёт далее в правилах (обычно на интерфейсах).

11
Russian / Re: SquidGuard список клиентов
« on: December 11, 2015, 02:19:43 am »
В общем, комментарии оставлять можно (либо это баг такой), но они в конфиг  SquidGuard не добавляются. Только в xml. Лично я попробовал вот в таком формате записи заносить:
ip_address[пробел]#комментарий[пробел][перенос]
Ну, либо без переноса. Правда с ним это делом становится более читабельно.
Если при этом всё корректно продолжает работать - то и фиг с ним, почему-бы не пользоваться.
Баг это или фича, уже не могу сказать, т.к. не помню какая там обработка.

12
Russian / Re: SquidGuard список клиентов
« on: December 10, 2015, 01:43:20 pm »
Не реализовано потому, что автору и последующим апдейтерам это не нужно было.
Попробуйте создавать ACL на конкретные группы и использовать самодокументирующиеся названия групп.
При необходимости можно перемещать IP клиента в нужную ACL.
Правда есть вариант ошибки включения его в несколько ACL, и это работать не будет.

Так-же можно сделать авторизацию на radius или внутреннюю авторизацию SQUID и делать ACL по имени пользователя, а не по IP

Ну не, как-то это не очень удобно. Проще уж конфиг руками править и добавлять туда комментарии.
И ведь не поправить скрипт никак... Реализовать-то такую ерундень проще пареной репы, но почему-то возможность эта закрыта. Или можно скрипты как-то править?
Да правьте на здоровье, никто не запрещает. Всё можно сделать.

13
Добрый день! Люди помогите пожалуйста настроить SquidGuard. Настроил авторизацию в squid по LDAP, работает. Но необходима NTLM авторизация, чтобы пользователям в GoogleChrome не приходилось вводить логин и пароль.
Далее в SquidGuard создал 3 группы, необходимые ACL, но срабатывает только одно правило. Кто-нибудь подскажет как настроить SquidGuard  непосредственно через web интерфейс?
Руками посредством конфигов я настроил. Но задача стоит настроить непосредственно через web, чтобы ничего не писать в конфигах.
Спасибо.
Покажите ваш конфиг, что там настроено?

14
Russian / Re: SquidGuard список клиентов
« on: December 10, 2015, 04:27:11 am »
Не реализовано потому, что автору и последующим апдейтерам это не нужно было.
Попробуйте создавать ACL на конкретные группы и использовать самодокументирующиеся названия групп.
При необходимости можно перемещать IP клиента в нужную ACL.
Правда есть вариант ошибки включения его в несколько ACL, и это работать не будет.

Так-же можно сделать авторизацию на radius или внутреннюю авторизацию SQUID и делать ACL по имени пользователя, а не по IP

15
Russian / Re: SquidGuard игнорирует правила
« on: December 04, 2015, 05:04:49 am »
Логи покажите.

Pages: [1] 2 3 4 5 ... 354