Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - yarick123

Pages: [1] 2 3 4 5
1
Поздравляю!

Однако,

Причина была, по его словам, в Squid.

Так у Вас там ещё и squid работал!?

О таких вещах писать надо, батенька! Ну и, разумеется, прямые вопросы не игнорировать:

Вопрос, конечно, странный, но может где-то proxy спрятался?

2
the routing seems to be o.k. Strange. Are you sure, that tcp packets did come to port 80 of the firewall and the firewall answered (you can see the answers e.g. in wireshark)?

3
If you are building such solutions you should understand, how the packages should go from one network to another on IP level independent of terminology.

So, how should packages go from the network 10.160.99.X to the network 10.160.3.X ? What intermediate routers should they go through? What is IP address of the nearest router, which knows about the network 10.160.3.X ?

what shows "tracert 10.160.3.1" on 10.160.99.36 ?

4
допустим, открыл я в браузере на тестовой рабочей станции 10.0.0.12 свой сайт по ip-адресу 5.101.116.208. Лезу в логи, в них только такое. Уж спрошу на всякий случай - так и должно быть?

В принципе, всё нормально. Зависит от того, какие сервисы на Вашем компьютере настроены.

https://www.speedguide.net/port.php?port=137
https://www.speedguide.net/port.php?port=5355

Ищете, как таки проходят tcp пакеты на порты 80, 443.

5
Сейчас Ваша проблема, это TCP на порты 80, 443.
Хоть убейте не пойму - почему вы называете это проблемой? Как раз таки ЭТО - имхо не проблема. Хочу разрешаю, а хочу запрещаю. Все наглядно и прозрачно

В то время как UDP-DNS трафик идет с контроллера домена на pfSense общей кучей и непонятно кто первоисточник. То есть, кого посылать, а кого пропускать :D

То есть, Вы уже разобрались с тем, что не смотря на то, что не все компьютеры в internet_YES, все они могут открывать внешние сайты, если удастся заполучить их IP адреса?
Нет, не разобрался :(
...

И что же для Вас тогда главная проблема? То что DNS работает не совсем так, как хочется, причём понятно почему, или то, что по IP адресам любой из Вашей сети получает доступ вовне по портам 80 и 443, хотя Вы пытаетесь это блокировать?

Для меня главной была бы вторая проблема. Но допускаю и наличие других точек зрения.

...
Типа, если бы за DNS отвечал BIND в pfSense - такой ситуации бы не было.

А в этом я уже не уверен:

...
Хотя я подумал, и сходу пока не придумал, как организовать фильтрацию. Ну, придёт DNS запрос к pfSense. Ну, поймёт pfSense, что запрос вовне должен идти. А дальше-то что? Для разрешения имени этот самый "ДНС Резолвер" с адреса pfSense пошлёт вовне новый DNS запрос, который нам иногда хочется блокировать. Но адреса изначального инициатора на этом этапе уже нет...

@werter, что я упускаю?

6
From your the data you wrote, it is not clear, e.g. how the networks 10.160.99.X and 10.160.3.X should be routed.

Did you try:

System / Routing: Gateways - add the gateway to 10.160.3.X  (10.10.0.2? 10.10.0.10?)

System / Routing: Static Routes - add route to 10.160.3.X over just added gateway.

?

If not, what shows "tracert 10.160.3.1" on 10.160.99.36 ?

7
Сейчас Ваша проблема, это TCP на порты 80, 443.
Хоть убейте не пойму - почему вы называете это проблемой? Как раз таки ЭТО - имхо не проблема. Хочу разрешаю, а хочу запрещаю. Все наглядно и прозрачно
...

То есть, Вы уже разобрались с тем, что не смотря на то, что не все компьютеры в internet_YES, все они могут открывать внешние сайты, если удастся заполучить их IP адреса?

...
В то время как UDP-DNS трафик идет с контроллера домена на pfSense общей кучей и непонятно кто первоисточник. То есть, кого посылать, а кого пропускать :D

@werter предложил:
Заверните все ДНС-запросы вовне на ЛАН ip пф. И тогда появится возможность рубить доступ к сайтам на уровне ДНС. Если исп-ся ДНС Резолвер на пф, конечно.

Хотя я подумал, и сходу пока не придумал, как организовать фильтрацию. Ну, придёт DNS запрос к pfSense. Ну, поймёт pfSense, что запрос вовне должен идти. А дальше-то что? Для разрешения имени этот самый "ДНС Резолвер" с адреса pfSense пошлёт вовне новый DNS запрос, который нам иногда хочется блокировать. Но адреса изначального инициатора на этом этапе уже нет...

@werter, что я упускаю?

8
System / Routing: Gateways - add the gateway to 10.160.3.X  (10.10.0.2? 10.10.0.10?)

System / Routing: Static Routes - add route to 10.160.3.X over just added gateway.

I hope the network structure where I work is clear

in fact, not. (no pf interfaces, not all important ip addresses, no gateways,..)

9
Хотя классическое и более безопасное решение - proxy.
То есть, не файрволом предлагаете рубить на дальних рубежах, а сквидом не пущать на сайты?

Файрволом рубить всё всем, кроме squid-сервера. Ну, а в squit-е настроить, кому куда можно.

10
Попробуйте включить logging для разрешающих правил TCP на порты 80, 443 и посмотреть, кто же до Интернета по ним доходит.
...
...
2) Так выглядят пинги и попытки пингов на любой ресурс, в данном случае мой тестовый сайт. Сразу понятно - кто лез и почему получилось или не получилось пингануть:

...

3) А так выглядит открытие сайтов в браузере с любого компа в сети (DNS-сервер = контроллер домена 10.0.0.1).

...

В данном случае, интересны данные именно о TCP на порты 80, 443, а не ping (ICMP) и DNS (UDP 53).

Видимо, файрволом не решить такую задачу - за открытие сайтов по доменному имени отвечает DNS, а DNS - это контроллер домена. pfSense либо пропускает от него запросы либо нет

"Вам шашечки или ехать?" С DNS можно разобраться позже, если Вам это действительно надо (@werter уже написал, как). Сейчас Ваша проблема, это TCP на порты 80, 443.

P.S. Не смог пройти мимо:
за открытие сайтов по доменному имени отвечает DNS

Нет. DNS отвечает за преобразование доменного имени в IP адрес. Пропишите на рабочем компьютере в hosts-файле правильные IP адреса сайтов, и DNS-сервер уже в "открытии сайтов по доменному имени" не участвует.

11
Что вы имеете ввиду под выражением "получают адреса"? Могут пингануть внешний сайт?

получают ответ с адресом на DNS запрос по UDP 53. В случае ping, Вы видите IP адрес внешнего сайта. Самому ping-у проходить необязательно (зависит от конфигурации), ведь у Вас цель - TCP 443, 80, а не ICMP.

12
Look at pfSense (10.160.99.36) routing configuration. It seems, it does not know the right route to the network 10.160.3.X .

13
Я вот вообще думаю - а реально ли эту задачу сделать при помощи файрволла?
...

Вполне. Если Вы не пользователей, а компьютеры с фиксированными IP адресами ограничиваете.

...
Но ведь в моем случае DNS-запрос к pfSense исходит не от рабочей станции, а от контроллера домена. А pfSense, в свою очередь, не знает - какая рабочая станция прислала контроллеру домена запрос - из группы internet_YES или еще из какой-то  ::)

Для Вас это плохо, если "ограниченные" компьютеры получают адреса внешних сайтов? Если да, можно что-нибудь придумать...

Хотя классическое и более безопасное решение - proxy.

14

Сделал. То же самое - интернет появился на ВСЕХ рабочих станциях (а не только на тех, что в группе internet_YES). Если убрать 2е сверху правило - сайты не будут открываться у ВСЕХ.

А как у Вас выглядит internet_YES?

Такое ощущение, что в Итнернет у Вас и так все ходить могут, но "Если убрать 2е сверху правило", никто не может получить IP-адреса внешних сайтов. Вопрос, конечно, странный, но может где-то proxy спрятался?

Попробуйте включить logging для разрешающих правил TCP на порты 80, 443 и посмотреть, кто же до Интернета по ним доходит.

Да и с DNS у Вас как-то всё путано. 10.0.0.3 это pfSense? Он тоже в Вашей конфигурации DNS resolving осуществлять должен? testgw.testdomain.com в таблице DNS отсутствует... Работать, конечно, будет, но как-то вся конфигурация вцелом странно выглядит.

P.S. Для чистоты эксперимента, я бы 3-е и 4-е снизу правила убрал, коль для 10.0.0.1 всё явно прописано во 2-ом сверху правиле.
P.P.S. Не вижу необходимости разрешать UDP на порты 443, 80.

15
Russian / Re: CARP ip-TTL или что пошло не так?
« on: February 09, 2018, 09:08:46 am »
есть большая локалка, два провайдера и две железки... [skipped]
...
ping ...[skipped] на любой WAN проходит нормально...

Подозреваю, имелось в виду, по одному CARP на WAN. И под "железками" тут, скорее всего, имелись в виду устройства с pfSense, а не маршрутизаторы, как я в начале подумал.

Pages: [1] 2 3 4 5