Forum Debian Users Gang

P@blo · 2012-11-22 11:19:26

Wiem, że to nie forum pfSense, ale może spróbuje.

Jest sobie proxy server i na osobnym kompie będzie stał pfSense (który będzie połączony, z ldapem przez radius, taki jest plan). No i nie umiem pfSense powiedzieć, że jest proxy gdzie indziej (podać mu port) i neta nie ma. Może ktoś wie gdzie to ustawić? Szukałem w necie, ale generalnie wszędzie piszą o kompie na którym jest proxy i pfSense, stąd problem.

Pozdrawiam

chmuri · 2012-11-22 12:00:31

M00nwall zobacz;) Pfsense używałem ale jakoś mi do gustu nie przypadł.

P@blo · 2012-11-22 12:04:03

Chodzi ci o m0n0wall?

Ostatnio edytowany przez P@blo (2012-11-22 12:19:40)

Jacekalex · 2012-11-22 18:12:00

PFsense ma firewalla pf - z OpenBSD.

Na 1200% jest tam odpowiednik celu DNAT z iptables, szukaj w konfigach NAT, opcja redirect. (mam na myśli klikalne GUI).
Tu masz conieco na ten temat:
http://forum.pfsense.org/index.php/topic,10918.msg60720.html

Zamiast M00nwall polecam Debiana.
Webmin ma całkiem przyzwoity i działający moduł do firewalla, aktualizacje bezpieczeństwa schodzą znacznie szybciej, niż w jakimkolwiek niszowym Linuxie,
a w razie czego na tym forum każdy problem z Debianem rozwiążesz w ciągu godziny - dwóch,. czego o MOOnwallu czy PFSense nie mogę powiedzieć.
Sam też Debiana znasz z 200 razy lepiej, niż PFSensa lub MOONwalla.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-11-22 18:13:20)

chmuri · 2012-11-22 18:25:44

@P@blo tak
@Jacekalex Coś w tym jest ale pamiętaj każdy szuka swojego konika na którym mu najwygodniej;)

Jacekalex · 2012-11-22 18:35:35

chmuri napisał(-a):
@P@blo tak
@Jacekalex Coś w tym jest ale pamiętaj każdy szuka swojego konika na którym mu najwygodniej;)

Postawienie routera na Debianie Squeeze, trochę regułek do firewalla, dhcp i zarządzania pasmem, praktycznie wszystko masz tu na forum.
I zawsze działa, a jakby co, to jaki problem w naprawieniu Debiana?
Właśnie dlatego zaproponowałem Debiana.
Żeby było najwygodniej.
Jak się przypadkowo coś rypnie w takim systemie jak PfSense czy Moonwall, to kogo zapytać, co z tym fantem zrobić?

W końcu miało być najwygodniej ;)

meciarz · 2012-11-22 19:24:34

Z pfSense nie miałem do czynienia, ale przykładowa regułka dla redirecta w PF:

Kod:

rdr on fxp0 proto tcp from fxp0:network to any port 80 -> 192.168.1.6 port 3128

gdzie
fxp0 - interfejs LAN
fxp0:network - sieć LAN
192.168.1.6 - adres gdzie przekierować
czyli przekierowanie pakietów kierowanych na port 80 na maszynę 192.168.1.6 port 3128

Pamiętaj, żeby nie przekierowywać ruchu na port 80 z proxy, bo będzie pętla i nie będzie działać.
Tak więc w Twoim wypadku (tak z pamięci):

Kod:

##--- makra ---##
int_if = "fxp0"
lan = $int_if:network
proxy = "192.168.1.6"

no rdr on $int_if proto tcp from $proxy to any port www
rdr      on $int_if proto tcp from $lan     to any port www -> $proxy port 3128

Oczywiście musisz trochę zmodyfikować pod siebie, a regułki PF prawdopodobnie w /etc/pf.conf (jeśli nie zerknij w /etc/rc.conf)

Ostatnio edytowany przez meciarz (2012-11-22 19:26:59)

Jacekalex · 2012-11-22 21:11:22

Iptables jest jednak dużo "trudniejszy" od PF :D

Kod:

iptables -t nat -I PREROUTING -p tcp --dport 80 -s 192.168.0.0/16  ! -d 192.168.0.0/16 -j DNAT --to-destination 192.168.15.9:3128

Czy wlazło?

Kod:

iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.15.9:3128

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-11-22 21:14:18)

P@blo · 2012-11-23 20:30:24

Jacekalex napisał(-a):
Na 1200% jest tam odpowiednik celu DNAT z iptables, szukaj w konfigach NAT, opcja redirect. (mam na myśli klikalne GUI).

No znalazłem w zakładce firewall, to NAT, ale nie natknąłem się na opcje redirect. Generalnie to co znalazłem tam to (nie znam terminologii) dodawanie reguł przekierowania portów (?). Szkoda, bo wygodny jest ten pfSense, ale chyba podsunę pomysł pospolitego debian'a, choć na pewno nie będzie tak łatwo mimo i przyjemnie...

Jacekalex: Efektem tego 'projektu' ma być sieć wifi, gdzie po połączeniu z nią w przeglądarce ma się pojawić pytanie o login i hasło. Hasła są w LDAP'ie. Czy tym 'pytaniem o hasło' w przeglądarce będzie coś związane z chillispot?

Pozdrawiam

qluk · 2012-11-29 17:50:00

Captive Portal służy do autoryzacji w pfSense.

Jacekalex · 2012-11-29 18:04:48

Do Chilispota potrzebujesz Radiusa - współczuję, jest z tym sporo zabawy.

Potem zapinasz do Radiusa - najlepiej rp-pppoe, choć sam Hostapd też wystarczy.

Protokół pppoe i autoryzacja CHAP/MSCHAP wyraźnie utrudnia wjazd do sieci jakiegoś "turysty" z Backtrackiem.

Jeśli natomiast stawiasz sieć wifi dla pracowników CIA, to lepiej od razu zainteresuj się IPSec'iem. ;)

Tu masz conieco o Chili, Radiusie i Mysql:
http://en.gentoo-wiki.com/wiki/Chillispot_with_FreeRadius_and_MySQL

Hostapd i Rp-pppoe bez Radiusa też obsługują autoryzację, ale pacjentów i hasła trzymają w plikach konfiguracyjnych, i nie ma do nich jak Chili podłączyć.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-11-29 19:15:53)

P@blo · 2012-11-30 09:47:43

Jacekalex napisał(-a):
...współczuję, jest z tym sporo zabawy.

No a proponujesz coś innego do ldap'a?

Ze linkiem (który podałeś) już jakiś czas jesteśmy kumplami... :/

Jacekalex · 2012-11-30 10:03:34

Zależy, ilu masz pacjentów.

Radzę użyć Mysqla albo Postgresa, o ile po Ldapie nie masz autoryzacji w AD na Win$ Serwer.

P@blo · 2012-11-30 10:25:16

ldap już jest i to jest warunek. Więc?

Forum Debian Users Gang

Ogłoszenie

#1 2012-11-22 11:19:26

P@blo - Nadworny matematyk

pfSense + proxy server (osobno)

#2 2012-11-22 12:00:31

chmuri - [=Centos=]

Re: pfSense + proxy server (osobno)

#3 2012-11-22 12:04:03

P@blo - Nadworny matematyk

Re: pfSense + proxy server (osobno)

#4 2012-11-22 18:12:00

Jacekalex - Podobno człowiek...;)

Re: pfSense + proxy server (osobno)

#5 2012-11-22 18:25:44

chmuri - [=Centos=]

Re: pfSense + proxy server (osobno)

#6 2012-11-22 18:35:35

Jacekalex - Podobno człowiek...;)

Re: pfSense + proxy server (osobno)

chmuri napisał(-a):

#7 2012-11-22 19:24:34

meciarz - Użytkownik

Re: pfSense + proxy server (osobno)

Kod:

Kod:

#8 2012-11-22 21:11:22

Jacekalex - Podobno człowiek...;)

Re: pfSense + proxy server (osobno)

Kod:

Kod:

#9 2012-11-23 20:30:24

P@blo - Nadworny matematyk

Re: pfSense + proxy server (osobno)

Jacekalex napisał(-a):

#10 2012-11-29 17:50:00

qluk - Pan inż. Cyc

Re: pfSense + proxy server (osobno)

#11 2012-11-29 18:04:48

Jacekalex - Podobno człowiek...;)

Re: pfSense + proxy server (osobno)

#12 2012-11-30 09:47:43

P@blo - Nadworny matematyk

Re: pfSense + proxy server (osobno)

Jacekalex napisał(-a):

#13 2012-11-30 10:03:34

Jacekalex - Podobno człowiek...;)

Re: pfSense + proxy server (osobno)

#14 2012-11-30 10:25:16

P@blo - Nadworny matematyk

Re: pfSense + proxy server (osobno)

Stopka forum