Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Wiem, że to nie forum pfSense, ale może spróbuje.
Jest sobie proxy server i na osobnym kompie będzie stał pfSense (który będzie połączony, z ldapem przez radius, taki jest plan). No i nie umiem pfSense powiedzieć, że jest proxy gdzie indziej (podać mu port) i neta nie ma. Może ktoś wie gdzie to ustawić? Szukałem w necie, ale generalnie wszędzie piszą o kompie na którym jest proxy i pfSense, stąd problem.
Pozdrawiam
Offline
Chodzi ci o [url=http://m0n0.ch/wall/]m0n0wall[/url]?
Ostatnio edytowany przez P@blo (2012-11-22 12:19:40)
Offline
PFsense ma firewalla pf - z OpenBSD.
Na 1200% jest tam odpowiednik celu DNAT z iptables, szukaj w konfigach NAT, opcja redirect. (mam na myśli klikalne GUI).
Tu masz conieco na ten temat:
http://forum.pfsense.org/index.php/topic,10918.msg60720.html
Zamiast M00nwall polecam Debiana.
Webmin ma całkiem przyzwoity i działający moduł do firewalla, aktualizacje bezpieczeństwa schodzą znacznie szybciej, niż w jakimkolwiek niszowym Linuxie,
a w razie czego na tym forum każdy problem z Debianem rozwiążesz w ciągu godziny - dwóch,. czego o MOOnwallu czy PFSense nie mogę powiedzieć.
Sam też Debiana znasz z 200 razy lepiej, niż PFSensa lub MOONwalla.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-11-22 18:13:20)
Offline
@P@blo tak
@Jacekalex Coś w tym jest ale pamiętaj każdy szuka swojego konika na którym mu najwygodniej;)
Offline
[quote=chmuri]@P@blo tak
@Jacekalex Coś w tym jest ale pamiętaj każdy szuka swojego konika na którym mu najwygodniej;)[/quote]
Postawienie routera na Debianie Squeeze, trochę regułek do firewalla, dhcp i zarządzania pasmem, praktycznie wszystko masz tu na forum.
I zawsze działa, a jakby co, to jaki problem w naprawieniu Debiana?
Właśnie dlatego zaproponowałem Debiana.
Żeby było najwygodniej.
Jak się przypadkowo coś rypnie w takim systemie jak PfSense czy Moonwall, to kogo zapytać, co z tym fantem zrobić?
W końcu miało być najwygodniej ;)
Offline
Z pfSense nie miałem do czynienia, ale przykładowa regułka dla redirecta w PF:
rdr on fxp0 proto tcp from fxp0:network to any port 80 -> 192.168.1.6 port 3128
gdzie
fxp0 - interfejs LAN
fxp0:network - sieć LAN
192.168.1.6 - adres gdzie przekierować
czyli przekierowanie pakietów kierowanych na port 80 na maszynę 192.168.1.6 port 3128
Pamiętaj, żeby nie przekierowywać ruchu na port 80 z proxy, bo będzie pętla i nie będzie działać.
Tak więc w Twoim wypadku (tak z pamięci):
##--- makra ---## int_if = "fxp0" lan = $int_if:network proxy = "192.168.1.6" no rdr on $int_if proto tcp from $proxy to any port www rdr on $int_if proto tcp from $lan to any port www -> $proxy port 3128
Oczywiście musisz trochę zmodyfikować pod siebie, a regułki PF prawdopodobnie w /etc/pf.conf (jeśli nie zerknij w /etc/rc.conf)
Ostatnio edytowany przez meciarz (2012-11-22 19:26:59)
Offline
Iptables jest jednak dużo "trudniejszy" od PF :D
iptables -t nat -I PREROUTING -p tcp --dport 80 -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j DNAT --to-destination 192.168.15.9:3128
Czy wlazło?
iptables -t nat -S -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A PREROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.15.9:3128
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-11-22 21:14:18)
Offline
[quote=Jacekalex]Na 1200% jest tam odpowiednik celu DNAT z iptables, szukaj w konfigach NAT, opcja redirect. (mam na myśli klikalne GUI).[/quote]
No znalazłem w zakładce firewall, to NAT, ale nie natknąłem się na opcje redirect. Generalnie to co znalazłem tam to (nie znam terminologii) dodawanie reguł przekierowania portów (?). Szkoda, bo wygodny jest ten pfSense, ale chyba podsunę pomysł pospolitego debian'a, choć na pewno nie będzie tak łatwo mimo i przyjemnie...
[b]Jacekalex:[/b] Efektem tego 'projektu' ma być sieć wifi, gdzie po połączeniu z nią w przeglądarce ma się pojawić pytanie o login i hasło. Hasła są w LDAP'ie. Czy tym 'pytaniem o hasło' w przeglądarce będzie coś związane z chillispot?
Pozdrawiam
Offline
Captive Portal służy do autoryzacji w pfSense.
Offline
Do Chilispota potrzebujesz Radiusa - współczuję, jest z tym sporo zabawy.
Potem zapinasz do Radiusa - najlepiej rp-pppoe, choć sam Hostapd też wystarczy.
Protokół pppoe i autoryzacja CHAP/MSCHAP wyraźnie utrudnia wjazd do sieci jakiegoś "turysty" z Backtrackiem.
Jeśli natomiast stawiasz sieć wifi dla pracowników CIA, to lepiej od razu zainteresuj się IPSec'iem. ;)
Tu masz conieco o Chili, Radiusie i Mysql:
http://en.gentoo-wiki.com/wiki/Chillispot_with_FreeRadius_and_MySQL
Hostapd i Rp-pppoe bez Radiusa też obsługują autoryzację, ale pacjentów i hasła trzymają w plikach konfiguracyjnych, i nie ma do nich jak Chili podłączyć.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-11-29 19:15:53)
Offline
[quote=Jacekalex]...współczuję, jest z tym sporo zabawy.[/quote]
No a proponujesz coś innego do ldap'a?
Ze linkiem (który podałeś) już jakiś czas jesteśmy kumplami... :/
Offline
Zależy, ilu masz pacjentów.
Radzę użyć Mysqla albo Postgresa, o ile po Ldapie nie masz autoryzacji w AD na Win$ Serwer.
Offline
ldap już jest i to jest warunek. Więc?
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00007 | SET NAMES latin2 |
0.00086 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.191.165.149' WHERE u.id=1 |
0.00132 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.191.165.149', 1732430290) |
0.00032 | SELECT * FROM punbb_online WHERE logged<1732429990 |
0.00048 | SELECT topic_id FROM punbb_posts WHERE id=216060 |
0.00070 | SELECT id FROM punbb_posts WHERE topic_id=22344 ORDER BY posted |
0.00052 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=22344 AND t.moved_to IS NULL |
0.00033 | SELECT search_for, replace_with FROM punbb_censoring |
0.00150 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=22344 ORDER BY p.id LIMIT 0,25 |
0.00089 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=22344 |
Total query time: 0.0071 s |