top
logo


Как раздать инетернет группе IP адресов в Pfsense? PDF Печать E-mail
Автор: adm   
09.12.11 09:22

Как раздать инетернет группе избранных IP адресов в Pfsense?

Всем остальным IP доступ в интернет будет закрыт.

 


Если вы решили разрешить выход в интернет по связке мак адрес + IP адрес:

 

1. Создадим Aliases для группы IP адресов которым мы разрешим выход в интернет:

Идем в: Firewall > Aliases  > +




2. Идем в :
Firewall > Rules > +

Если вы решили разрешить выход в интернет по связке мак адрес + IP адрес:
Зарезервируйте IP адерса в DHCP server PfSense.
Поставьте две галочки, позволяющие отфильтровать неизвестные мак адреса.

1. "Enable Static ARP entries"

Флаг Enable Static ARP работает аналогично отказу неизвестным MAC адресам в получении аренды, но позволяет сделать ещё один шаг в направлении ограничения любых неизвестных машин при подключении их к pfSense. Это позволит ограничить потенциальных нарушителей и закрыть им обход DHCP.

Замечание: Будьте осторожны при использовании статических ARP, гарантируйте, что все системы которые должны общаться с маршрутизатором перечислены в статическом списке перед активацией данной опции, особо это касается системы, используемой для подключения к WEB GUI.

2.  "Deny unknown clients"
Deny unknow clients, аренду адресов будут получать только клиенты со статическим распределением, что конечно более безопасно, но менее удобно.

Примечание: Таким образом можно реализовать защиту от пользователей с низким уровнем знаний и случайно подключенных устройств. Однако имейте в виду, что пользователь знающий в вашей сети постоянный IP адрес, маску подсети, шлюз и DNS может получить доступ. Он может изменить MAC адреса дабы соответствовать реальным клиентам сети и получить их арендные адреса. Где это возможно, объедините эту опцию со статическими записями ARP, контролем доступа к коммутатору, которые будут ограничивать доступ MAC адресов к определённым портам коммутатора в целях повышения безопасности, а также включите или отключите переключение известных неиспользуемых портов.

Кроме того, отображается IP адрес и маска подсети для настраиваемого интерфейса. Ниже отображается доступный диапазон IP адресов для маски подсети, что может помочь определить попадание начального и конечного адресов диапазона в пул DHCP.

Два поля диапазона сообщают pfSense первый и последний адрес пула DHCP. Первый адрес должен быть меньше второго. Например, по умолчанию для LAN диапазон DHCP базируется на подсети для IP адреса по умолчанию LAN. Это 192.168.1.10 - 192.168.1.199. Диапазон может изменяться в зависимости от ваших требований, но он должен находится в рамках подсети интерфейса.

Могут быть определены два WINS сервера (Windows Internet Name Server) . Если у вас один или несколько WINS серверов, здесь следует ввести их адреса. Фактически сервера не обязаны находится в той же подсети, но следует убедится, что существуют соответствующие правила маршрутизатора и брандмауэра, позволяющие их достичь. Если оставить это поле пустым WINS не будет передаваться клиентам.

В зависимости от ваших настроек, вы можете и не указывать DNS серверы. Если вы используете для обработки DNS форвардер встроенный в pfSense, оставьте эти поля пустыми и pfSense будет автоматически назначать себя как сервер DNS для клиентских хостов. Если DNS форвардинг отключается, и эти поля оставляются пустыми, pfSense действует основываясь на DNS серверах указанных в общих параметрах на странице System- >General setup. Если вы хотите использовать специфические DNS сервера а не выбранные автоматически, следует заполнить указанные поля как минимум двумя значениями IP адресов (смотрите раздел 24.2. "Свободная фильтрация контента с использованием OpenDNS"). В сетях серверов ОС Windows, особенно при наличии AD, рекомендуется использовать эти сервера для клиентов DNS. При использовании DNS форвардера в сочетании с CARP, укажите в этих полях CARP IP для этого интерфейса.

Опция Gateway может быть пустой, в случае, если pfSense является шлюзом для локальной сети. Если это не так, необходимо заполнить IP адрес шлюза который будет использоваться клиентами данного интерфейса. В случае использования CARP, здесь следует указать CARP IP для данного интерфейса.

Время аренды по умолчанию и максимальный период времени аренды указывают максимальную длительность аренды адреса DHCP. Время аренды по умолчанию используется в случае если клиент не запрашивает специфического времени истечения. Если клиент указывает, как долго он желает использовать аренду адреса, максимальное время аренды позволит ограничить данный запрос разумными пределами. Значения задаются в секундах, по умолчанию установлено 7200 секунд (2 часа) для параметра по умолчанию и 86400 секунд (1 день) для максимального времени аренды.

Если данная система является частью отказоустойчивого развёртывания, такого как кластер CARP, введите в данное поле IP адрес соседа системы. Это должен быть реальный IP адрес другой системы в данной подсети, а не общий CARP адрес.




Если вы не используете в сети DHCP server, воспользуйтесь вторым способом:



Приятной работы!


{jcomments on}
Последнее обновление 12.11.12 13:50
 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика