The pfSense Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - werter

Pages: [1] 2 3 4 5 ... 332
1
Russian / Re: Proxmox, Ceph, ZFS ссылки.
« on: Yesterday at 05:23:25 am »
Добавил про VM watchdog.

2
Russian / Re: Настройка DNS resolver
« on: January 20, 2018, 06:33:44 am »
Добрый.
pfSense -- далеко не панацея

Есть вещи которые он не может и вряд ли когда сможет
Успокойтесь. Никто и не утверждает, что пф - идеален.

И вопрос задан не вам. Вопрос для ТС.

3
Russian / Re: Настройка DNS resolver
« on: January 19, 2018, 08:14:10 am »
Может стоит указывать сперва локальный шлюз в настройках LAN пф-а ?  А уж после указать DNS и тот же шлюз там, где вы показали. Откуда пф знать, где нах-ся 8.8.8.8, если у него нет ВАНа ?

Quote
PF используется только как DNS сервер и по этому второй интерфейс выключили соответственно NAT отключен.
Снова. Почему не используете пф полноценно ? Что мешает? Зачем такой ммм изврат? Кто у вас шлюзом трудится ?

4
Russian / Re: Настройка DNS resolver
« on: January 19, 2018, 04:18:17 am »
Добрый.
Что в настройках General и Advanced на пф (там где настройки ДНС)?

Quote
PFsens используется как кэширующий DNS сервер с одним интерфейсом LAN, WAN придавлен.
Что мешает использовать пф полноценно ?

Просьба, прикреплять скрины здесь, а не на внешние ресурсы.

5
Добрый.
Скрины настроек Лимитера.

Quote
Потом открыл Firewall -> Rules -> LAN в правиле
Правильнее создавать правила Лимитера\Шейпера во Floating rules.

Quote
В общем нехватало в настройках лимитера указать MASK для исходящего трафика "destination.... а для входящего "source...."
Указанием маски вы нарезали каждому гарантировано по 8Мбит/с, а не динамически на всех. Т.е. 2 сотрудника гарантировано отожрут 16 Мбит\с, три - 24 Мбит\с и т.д. Канал не уложат вам ?

P.s. В будущем можно настроить Шейпер, если станет задача приоритизировать трафик - https://forum.pfsense.org/index.php?topic=126637.0

7
Что и как у вас там на отдельн. сквиде настроено - себе дороже разбираться.

Ради чистоты эксперимента вы тестовый стенд поднимите с новым пф + сквид на нем + те acl для скайпа, к-ые я вам подкинул и попробуйте. На том же Виртбоксе у вас это ~30 мин времени отнимет. А после поговорим. Чего воду в ступе толочь ?
Может вас это и сподвигнет перенести все хоз-во на пф.

Скажу лишь, что вы единственный,  кто за ~8 лет моего знаком-ва с пф пытается вот таким кхм.. способом решить проблему со сквидом.

Или ищите др. решение для софт-роутера. Недавно тут человек на керио вот ушел (вроде).

Зы. Фраза pfsense dscp в известном поисковике возможно вам поможет.

8
Добрый.
У человека, решение к-го я процитировал выше все получилось и со скайпом и с windows update и с iCloud.
Причем без "любови" с маркировкой (напуркуа оно в этом случае ?) и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)

Перенести все на пф. Для логирования есть lightsquid. Мало ? Настроить связку squid + lightsquid + ipcad (на форуме есть мануал)
Для запретов\разрешений есть squidguard + списки от http://www.shallalist.de/
Цитата :

Quote
1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории    [blk_BL_anonvpn]   denny

И оочень трудно найти не забаненый анонимайзер.


AD\NTLM также можно реализовать https://pf2ad.mundounix.com.br/en/index.html

Для блокирования\разрешения чего угодно еще есть pfBlocker.
https://vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/
https://support.rbtechvt.com/Knowledgebase/Article/View/324/0/configuring-pfblocker-for-dns-and-ip-blacklisting
https://www.bfoliver.com/technology/2016/02/27/howtoblockadswithpfblocker/
https://www.linuxincluded.com/using-pfblockerng-on-pfsense/


Вы же идете по самому сложному пути, ИМХО, держа все по отдельности. Впрочем, "колхоз - дело добровольное".

9
Добрый.
А по мне так 2-ой универсальнее - одно запрещ. правило в самом верху, а ниже добавляй-разрешай все остальное. Причем не надо мучаться с явным добавлением шлюзов, прописыванием dest etc.

10
Доброго.
https://forum.pfsense.org/index.php?topic=105810.0 что-то есть по поводу маркировки.

Вы хотите skype мимо прокси пустить ? Разверните сквид на пфсенсе и на нем уже настроите acl для скайпа по аналогии с https://forum.pfsense.org/index.php?topic=140074

Цитата :

Quote
Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно (лучи добра тому, кто это придумал). А у нас настройки прокси из определения выше прилетают в IE через GPO. Короче, добавляем разрешающее правило для всех в сквид на сайты apps.skypeassets.com и mscrl.microsoft.com. В противном случае я ловил TCP_DENIED/407 и скайп не подключался. Ну где-то так:

#Options for Skype

 acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
 http_access allow for_skype

 не забудьте reload сквида

 Не вздумайте схитрить, обойтись изменением GPO настройки IE Не использовать прокси сервер с адресов, начинающихся с: для упомянутых адресов. Отвалится куча сервисов МС. и web skype в первую очередь.

 Снова идем тестить на жертве и получаем то, что требовалось. Скайп подключился, работает, можно писать и звонить. Ура, блин :)

Кстати, вы можете заметить, что есть варианты поиграть с правилами сквида, чтобы кое как пропустить хотя бы подключение к скайпу, но это не наш метод, в ключевой момент не состоявшийся звонок для нас критичен.

11
Добрый.

Линк будет подниматься автоматом. По др. никак.

Как вариант-костыль - создать правило fw на LAN с расписанием работы когда можно в удаленную сеть "ходить". Если это вас устроит.

12
Добрый.

Вар. 1
Явно указать в правилах fw на ЛАНах в gw - WAN GW. Сделать Reset States.

Вар 2.
Создать на каждом ЛАНе явное запрещ. правило - src - LAN net, dst - OPT1 net и наоборот для OPT1. Поставить его первым на обеих ЛАНах.

Вар. 3.
В уже существ. правилах на ЛАНах в dest указать !LAN net и !OPT1 net соответственно. Сделать Reset States.

13
Добрый.
Прокси в каком режиме?

Quote
Хотелось бы такую же схему реализовать в pfsense 2.2.6
Есть ли возможность обновиться ? Уж оч. старая версия.

14
Добрый.
Quote
Автонастройка включена естественно в ОС, есть такая настройка в панели управления, как "свойства браузера", где обычно уже установлена галка в настройке параметров локальной сети "автоматическое определение параметров". IE и хром туда смотрят

Это не совсем так. Существуют системные настройки прокси. Устанавливаются они с пом. редактирования реестра или команды netsh:

Code: [Select]
netsh winhttp set proxy <YOUR PROXY SERVER>:<PORT>
https://serverfault.com/questions/34940/how-do-i-configure-proxy-settings-for-local-system
https://social.technet.microsoft.com/Forums/windows/en-US/8baf9f43-98e8-407e-8443-a1af5b752e54/system-wide-proxy-setting-in-windows7?forum=w7itpronetworking

И эти настройки не зависят от того, какие установлены в IE. И Хром и IE ориентируются в первую очередь на них (?)

Pages: [1] 2 3 4 5 ... 332