на 9.23 о порядке правил : Rules are always processed from the top of a list down, first match wins (except for floating rules without quick set) Rules defined on the floating tab are processed first Rules defined on interface group tabs (Including OpenVPN) are processed Rules defined on interface tabs (WAN, LAN, OPTx, etc) are processed last Правила выполняются слева направо (закладки) и сверху вниз. Fix
Да согласна видео классное! Хоть появилось что-то на русском языке! А теперь самое интересное! Вышла новая версия pf и там добавились некоторые плюшки. Например галочка invert match в тех же самых Rules. Если нужны идеи то могу предложить тебе - сними видео как настроить непрозрачный прокси, доступ из одной подсети в другую и есть такая интересная штука как light squid. У многих после обновления она поотваливалась.Тема актуальная. Про опен впн тоже можно снять! Дерзай! Удачи!
Здравствуйте. А как быть с таким вопросом. Необходимо на pfsense WAN раздать на LAN1 и LAN2 и при этом, что бы LAN1 и LAN2 не могли заходить друг к другу, я перепробовал разное, идут между ними все протоколы, не получается заблокировать трафик между LAN1 и LAN2. Где это можно реализовать в pfsense
Иван большое спасибо за видео Скажи пожалуйста какие должны быть прописаны правила если на шлюзе стоит только squid? Т.е. выход в интернет у пользователей только через прокси. Прокси на порту 3128 и он не прозрачный. Выход в интернет можно только компьютерам с определёнными IP адресами.
привет Иван спасибо за очень полезные обзоры. помоги пожалуйста с одним вопросом . можно ли увеличить скорость интернета с помощью LAGG LACP или каких то других протоколов . уточню скорость интернета а не пропускная способность .к примеру два порта по 1 гигабайт/сек дадут 2 гигабайт/сек ???
Все супер и по делу. Я только одного не могу понять. У меня 2 провайдера. gw1 по дефолту gw2 тоже работает, но на подхвате. Не могу сделать правило что бы один из компов в сети работал через gw2 постоянно. Подскажи пожалуйста как. Спасибо)
Есть 3 интерфейса в pfsense wan, lan1 - 192.168.1.1, lan2 - 192.168.2.1 Клиенты получили адреса 192.168.1.10 и 192.168.2.10, суть в том что клиенты друг друга не видят...не зайти по шаре, не пингуются. Вопрос, куда смотреть и чего не хватает.
Иван Вы человек знающий в этой теме, поэтому позволю себе задать вам вопрос. Подскажите пожалуйста как можно защититься от атак на домашний компьютер ( сканирование ресурсов и прочее ) если дома используется услуга "Реальный IP" от провайдера. Дело в том что я в этой теме вообще не шарю, фаервол у меня есть обычный от Dr.Web. Но проблема в том что я совершенно не знаю как его правильно настроить, а отдельного детектора атак например как в Outpost или Kaspersky у него нету. Поэтому хочу вас спросить, что нужно настроить и по каким протоколам что бы защититься от подобного рода атак. Если есть возможность дайте ссылки на книги по этому вопросу. Спасибо.
Если кабель от провайдера вставлен в роутер то лучше доверить это роутеру, а если нет то надо действовать по принципу "Блокировать всё. Разрешить то что нужно." То же касается и роутера, он по умолчанию должен блокировать все подключения по всем протоколам кроме тех которые надо открыть пользователю с помощью правил. Drweb тоже можно настраивать по этому принципу. Блокировать все входящие подключения и разрешить то что надо. Например, надо разрешить подключаться по сети к папкам, открыли соответствующий порт от службы и т. д. Есть тостеры у которых все порты открыты, это плохо. В этом случае надо или настраивать роутер или покупать нормальный.
А как работают правила если появляется интерфейс PPPOE-сервер ? Например хочу определенному ipклиента (полученный от pppoe сервера на pfsense) ограничить доступ в интернет ?
Такой вопрос: Pfsense имеет возможность включения и отключения правил файрвола по времени суток? Например для организации - блокирование доступа к соц-сетям в рабочее время, и предоставление доступа скажем в обеденный перерыв. P.S. интересно рассказываешь, познавательно =)
+Basteta & LeoNiks +Basteta & LeoNiks Да имеет. Делается всё элементарно. Там в настройках фаервола есть пункт "Schedules" это расписание, потом его можно применить к любому правилу в меню "Rules".
А есть ли вариант правила, перевод клиента на определенный сайт при первом подключении? (встречал в трц местную сеть, там при открытии браузера после подключения в сети, отображался сайт трц, а после него можно было открыть любой другой сайт.)
Хочу обезопасить домашний ПК фаерволом. Сейчас установлен ESET Internet Security. Что посоветуете MikroTik или pFsense. Какой проще и доступнее в настройках?
@@eldarkarimov5791 плюс в модулях. Не знаю как сейчас но раньше в pfsense была проблема например с wireguard, а в opensense он просто модулем ставится.
@@vanohaker Думаю не надо объяснить, как вы знаете как и модули есть пакеты который ставится на пару клик в том числе и сам wireguard, Кроме этого есть другое преимущества? PS мне интересно было бы узнать ваше мнение та как на работе Я так на работе Я тоже использую pfsense + suricata не сказал бы все хорошо ,но не плохо , Стоить ли переходить на opensense ?
Познавательное видео спасибо, но боже мой Вано destination - дездунейшен(назначение) , а дистеншен это как бы дистанция что ли ? :-) Не сочти за наезд :-))
Если 1.210 будет подключён через хаб или свич то он вполне будет иметь доступ ко всем остальным устройствам в своей подсети, потому что в одной подсети пакеты не маршрутизируются роутером.
на 9.23 о порядке правил :
Rules are always processed from the top of a list down, first match wins (except for floating rules without quick set)
Rules defined on the floating tab are processed first
Rules defined on interface group tabs (Including OpenVPN) are processed
Rules defined on interface tabs (WAN, LAN, OPTx, etc) are processed last
Правила выполняются слева направо (закладки) и сверху вниз. Fix
Да согласна видео классное! Хоть появилось что-то на русском языке! А теперь самое интересное! Вышла новая версия pf и там добавились некоторые плюшки. Например галочка invert match в тех же самых Rules. Если нужны идеи то могу предложить тебе - сними видео как настроить непрозрачный прокси, доступ из одной подсети в другую и есть такая интересная штука как light squid. У многих после обновления она поотваливалась.Тема актуальная. Про опен впн тоже можно снять! Дерзай! Удачи!
Спасибо большое, очень полезная тема. Продолжай в том же духе. Успехов.
Звуковое сопровождение огонь)
Спасибо за обучку. Очень пригодилось
Здравствуйте. А как быть с таким вопросом. Необходимо на pfsense WAN раздать на LAN1 и LAN2 и при этом, что бы LAN1 и LAN2 не могли заходить друг к другу, я перепробовал разное, идут между ними все протоколы, не получается заблокировать трафик между LAN1 и LAN2. Где это можно реализовать в pfsense
Стильный ковёр на стене!
Спасибо за видео. Иван, дестинейшн) И жду видео про NAT и Alies.
РеспеКтище тебе ЧЕЛОВЕЧИЩЕ. Огромное спасибо за уроки.
забавно произносишь destination)))
дистэншен (distance) это дистанция.
дэстэнейшн (destination) это получатель.
Аплуй
Автор красавчик))) Есть косяки, но и много дельного говорит.
Иван большое спасибо за видео Скажи пожалуйста какие должны быть прописаны правила если на шлюзе стоит только squid? Т.е. выход в интернет у пользователей только через прокси. Прокси на порту 3128 и он не прозрачный. Выход в интернет можно только компьютерам с определёнными IP адресами.
привет Иван спасибо за очень полезные обзоры. помоги пожалуйста с одним вопросом . можно ли увеличить скорость интернета с помощью LAGG LACP или каких то других протоколов . уточню скорость интернета а не пропускная способность .к примеру два порта по 1 гигабайт/сек дадут 2 гигабайт/сек ???
Можно-ли настроить динамическое деление, приоторизация по типу трафика? Как на роутер ос микротик?
Все супер и по делу. Я только одного не могу понять. У меня 2 провайдера. gw1 по дефолту gw2 тоже работает, но на подхвате. Не могу сделать правило что бы один из компов в сети работал через gw2 постоянно. Подскажи пожалуйста как. Спасибо)
Есть 3 интерфейса в pfsense wan, lan1 - 192.168.1.1, lan2 - 192.168.2.1
Клиенты получили адреса 192.168.1.10 и 192.168.2.10, суть в том что
клиенты друг друга не видят...не зайти по шаре, не пингуются. Вопрос,
куда смотреть и чего не хватает.
Иван Вы человек знающий в этой теме, поэтому позволю себе задать вам вопрос. Подскажите пожалуйста как можно защититься от атак на домашний компьютер ( сканирование ресурсов и прочее ) если дома используется услуга "Реальный IP" от провайдера. Дело в том что я в этой теме вообще не шарю, фаервол у меня есть обычный от Dr.Web. Но проблема в том что я совершенно не знаю как его правильно настроить, а отдельного детектора атак например как в Outpost или Kaspersky у него нету. Поэтому хочу вас спросить, что нужно настроить и по каким протоколам что бы защититься от подобного рода атак. Если есть возможность дайте ссылки на книги по этому вопросу. Спасибо.
Если кабель от провайдера вставлен в роутер то лучше доверить это роутеру, а если нет то надо действовать по принципу "Блокировать всё. Разрешить то что нужно." То же касается и роутера, он по умолчанию должен блокировать все подключения по всем протоколам кроме тех которые надо открыть пользователю с помощью правил. Drweb тоже можно настраивать по этому принципу. Блокировать все входящие подключения и разрешить то что надо. Например, надо разрешить подключаться по сети к папкам, открыли соответствующий порт от службы и т. д.
Есть тостеры у которых все порты открыты, это плохо. В этом случае надо или настраивать роутер или покупать нормальный.
Хотелось бы узнать можно ли настроить Limiters для MULTI WAN например для WAN1 15 мегабит а для WAN2 90 мегабит?
А что за музон в конце роликов?
А как работают правила если появляется интерфейс PPPOE-сервер ? Например хочу определенному ipклиента (полученный от pppoe сервера на pfsense) ограничить доступ в интернет ?
Такой вопрос: Pfsense имеет возможность включения и отключения правил файрвола по времени суток? Например для организации - блокирование доступа к соц-сетям в рабочее время, и предоставление доступа скажем в обеденный перерыв.
P.S. интересно рассказываешь, познавательно =)
+Basteta & LeoNiks +Basteta & LeoNiks Да имеет. Делается всё элементарно. Там в настройках фаервола есть пункт "Schedules" это расписание, потом его можно применить к любому правилу в меню "Rules".
+Иван Глазков Привет можешь снять видео как настроить Traffic Shaper в pFsense как дать приоритет онлайн играм
как ограничить скорость для сайта, например для ютуба?
Не получаеться полностью блокировать youtube.com. Через несколько попыток оно опят запускаеться.Может подскажете что не так
Расскажи пожалуйста, как с домена переправить человека на webserver, который находится в сети PFSense
Как заблокировать локальным хостам инет только для определённого WAN?
Большое спасиб за видео
А есть ли вариант правила, перевод клиента на определенный сайт при первом подключении? (встречал в трц местную сеть, там при открытии браузера после подключения в сети, отображался сайт трц, а после него можно было открыть любой другой сайт.)
стартовая страница в браузере прописана трц, такое не рассматривается?
нет
Это настройки портала авторизации.
Хочу обезопасить домашний ПК фаерволом. Сейчас установлен ESET Internet Security.
Что посоветуете MikroTik или pFsense. Какой проще и доступнее в настройках?
@Cümşüd Ələmdarov Aftandil oğlu Спасибо
Иван помоги пожалуйста. Как настроит месячный лимит данных по ip
как разрешить трафик от мобильных l2tp клиентов (с выдачей им фиксированных IP) на версии 2.3.5 ?
Спасибо, полезно
Пездатая серия. ПфСенс, определенно рулит.
Добрый день! Можно ли установить на виртуальную машину, и какие настройки пробросить!?
+Анатолий Сермакшев Можно поставить, а настройки хуй знает!
Иван привет, куда пропал как у тебя дела ??
Привет. Работаю. Вроди норм.
@@vanohaker новые видео планируешь снимать ??, просто давно ничего не было.
Сложа!) но очень ин тересно!
Как прокинуть белые IP через pFsense?
дистеншн, аплой аааааааааааааа
Почему. ДИСТИНАЙШЕН, называют ДИСТАЙШЕН?
Вы все еще используйте pfsense ?
Сейчас не использую. Давно купил себе микротик rb4011. Opensense использую на работе как vpn сервер для сотрудников.
@@vanohaker не возражаетесь что я продолжаю разговор , микротик понятно, но зачем opensense место pfsense , в чем плюс ?
@@eldarkarimov5791 плюс в модулях. Не знаю как сейчас но раньше в pfsense была проблема например с wireguard, а в opensense он просто модулем ставится.
@@vanohaker Думаю не надо объяснить, как вы знаете как и модули есть пакеты который ставится на пару клик в том числе и сам wireguard, Кроме этого есть другое преимущества? PS мне интересно было бы узнать ваше мнение та как на работе Я так на работе Я тоже использую pfsense + suricata не сказал бы все хорошо ,но не плохо , Стоить ли переходить на opensense ?
Познавательное видео спасибо, но боже мой Вано destination - дездунейшен(назначение) , а дистеншен это как бы дистанция что ли ? :-) Не сочти за наезд :-))
всегда правила в тэйблс выполняются с верху вниз
Я бы добавил, что до первого срабатывания
Правила выполняются СВЕРХУ-ВНИЗ!
У моей бабушки 1 в 1 такой же!😁
Ошибаешся! Он правильно сказал, порядок выполнения правил снизу вверх.
при блокировке 1.210 ты его отрезал полностью от сети, а не только заблочил ему инет. я правильно понял?
Если 1.210 будет подключён через хаб или свич то он вполне будет иметь доступ ко всем остальным устройствам в своей подсети, потому что в одной подсети пакеты не маршрутизируются роутером.
Беда... Firewall похож на NAT примерно ничем...
Кста, обосрамс, в прошлом видосе не уделили внимание двум галкам, отвечающим за хардварную обработку пакетов.