IIchan Archives — Электроника и ПО

Файл: image02.png -(14 KB, 721x179, image02.png)

Чии Пт 20 ноября 2015 20:43:42 No.175105

Иичан, помоги! На работе требуют, чтобы блокировка всяких нехороших сайтов происходила через отдельный комп/роутер.
Хорошо, беру старенький системник, ставлю на него PFSense, он загружается, предлагает назначить порты. Назначаю wan и lan порты. Через машину с установленной сенсой пингую сервера гугла - нормально. Т.е. wan работает нормально. Подключаю через lan машину, и тут самая проблема. Автоматически IP не присваивается. Ну ладно. Ввожу вручную ipv4 192.168.1.2 и маску 255.255.255.0
от машины с сенсой на подключенную через lan машину начинают приходить пакеты. Т.е связь вроде как установлена. Но по адресу 192.168.1.1(web интерфейс) переход не происходит(и адрес не пингуется). Ручная установка адреса на lan не помогла.
Что делать?
звиняйте, коли что не так. Давно в тематике не был

>>	Чии Пт 20 ноября 2015 20:59:28 No.175106 Мне кажется, что тот, кто сказал, что он поможет тебе, если ты перекинешь тред, обманул тебя.

>>	Чии Пт 20 ноября 2015 21:01:51 No.175107 >>175106 Ну, я надеюсь хоть кто-то до понедельника откликнется. В принципе, конретно к сенсе я не привязан, так что если подскажете что-то аналогичное - тоже хлеб

Чии Пт 20 ноября 2015 21:29:45 No.175109
Файл: 0efb71c2829fdd01d8f7254c507dadf1.jpg -(258 KB, 750x1050, 0efb71c2829fdd01d8f7254c507dadf1.jpg)

>>175105
Я бы запилил на линуксе с iptables и "прозрачным" squid для блокировки нехороших сайтов. Кто, кстати, список блокировки будет определять? Если же там, например, только социальные сети типа ВК, то ограничился баном всех подсетей конторы (ищи список по AS). А ещё лучше указать начальству на бесполезность мер по блокировке, просто показав свой смартфон с загруженным ВК.

По твоему описания я понял нихера. Схема сети сейчас такая?
Провайдер - WAN pfSense LAN - 192.168.1.0/24 - ПК 192.168.1.2
Тестовый ПК непосредственно воткнут в сетевуху LAN сервера? DHCP на интерфейс LAN должен работать по умолчанию.

>связь вроде как установлена.

Это как, если пинга нет?
Что сейчас инторнет раздаёт? Этот девайс будет выпилен?

Чии Пт 20 ноября 2015 23:08:41 No.175114
Файл: Howtoinstall11.JPG -(25 KB, 559x350, Howtoinstall11.JPG)

>>175109

>По твоему описания я понял нихера.

Прошу сильно строго не судить. Это немного не моя специальность(вообще не моя).

>Я бы запилил на линуксе с iptables и "прозрачным" squid для блокировки нехороших сайтов

Не ткнешь, в каком именно направлении курить? Потому как через гугл, понятно что это возможно, но более менее внятного описания процесса - нет.

> Кто, кстати, список блокировки будет определять?
>Схема сети сейчас такая?

Думаю, проще будет сразу расписать: работаю в школе, по части всего что связанно с компами. По большей части, необходимо разбираться с поломками аппаратной части и настройкой ОС, в чем понимаю неплохо. Сеть же, еще до меня тянули специально обученные люди, и мне требовалось поддерживать все в рабочем состоянии, на что опять таки моих знаний хватало.
Недавно была комиссия, и одним из требований было

>блокировка всяких нехороших сайтов происходила через отдельный комп/роутер.

т.к. блокировку через хостс можно обойти достаточно легко. И даже если я смогу это сделать непосредственно на компах, все равно нужно

>через отдельный комп/роутер.

Потому что так решил кто-то умный в верхах.
Схема сети сейчас такая:
приходит оптоволокно и сразу же идет в конвертер, откуда патчкорд заходит в роутер(микротик, точной модели сейчас не скажу). Из роутера(4 lan 1 wan/lan) 2 кабеля идут на административные помещения (секретарская, кабинеты завучей), 1 заходит в 16 портовый неуправляемый свитч. Из него расходится сеть по всей школе. Интересуют нас 2 кабеля, уходящие на компьютерные классы. Машины в них настроены на работу в локалке.
Что я хочу сделать:
Поставить рядом со свитчем комп, выполняющий функции роутера. В него завести кабель от микротика, а вывести на 2 компьютерных класса.

>По твоему описания я понял нихера.

Такс, теперь как оно было. От роутера(asus) в выделенном мне помещении, я подключаю кабель в порт настроенный в качестве wan. С машины, на которой установлен pfsense нормально пингуется 8.8.8.8. . На порту wan указан ip(как я понимаю выданный роутером) 192.168.1.109.
Напротив порта lan - пустота(он включен в мой ноут или в стоящий рядом компьютер) хотя как видно на пикрелейтед должно писаться либо про использование dhcp либо конкретный адрес. При ручном присвоении ip на lan(пункт 2 пикрелейтед)
он появляется напротив надпиcи lan, но все также не пингуется и не заходит в web интерфейс.

>Это как, если пинга нет?

Это так, что если вручную присвоить соединению

>pv4 192.168.1.2 и маску 255.255.255.0

То значок соединения на моем ноуте с мятой, сменяется на подключено, а характер соединения на компе с виндой сменяется с "нет доступа к сети" на "нет доступа к интернету" и в свойствах сети, видно, что начинает получать по сети какие-то пакеты. Т.е. вроде какая-то связь с роутером появляется. Но не пингуется ничего.

Чии Пт 20 ноября 2015 23:13:49 No.175115

>Т.е. вроде какая-то связь с роутером появляется.

Тут под роутером, подразумевалась выполняющая его функции машина с сенсой.

>Интересуют нас 2 кабеля, уходящие на компьютерные классы.

Забыл уточнить, что в каждом из двух классов стоит по своему неуправляемому свитчу.

Чии Пт 20 ноября 2015 23:29:23 No.175116
Файл: 73acf3466443956dfcda07f0094f965d.jpg -(704 KB, 1024x1280, 73acf3466443956dfcda07f0094f965d.jpg)

>>175114

>Недавно была комиссия, и одним из требований было
>блокировка всяких нехороших сайтов происходила через отдельный комп/роутер.

Философское: запилили аж общероссийскую систему блокировки для защиты детей, но всё рано недостаточно. Зачем тогда этот Роскомнадзором?

>Поставить рядом со свитчем комп, выполняющий функции роутера. В него завести кабель от микротика, а вывести на 2 компьютерных класса.

В целом всё Ок. Не правится, что ты используешь для учебных классов ту же подсеть, что и в основной сети (если я верно понял, что у вас 192.168.1.0/24). Возьми 192.168.2.1/255.255.255.0 для lan твоего сервака и 192.168.2.2 для тестового ПК.

За тонкости pfSense я, к сожалению, не подскажу.

И вообще микротик!
Выделить на один из портов отдельную подсеть 192.168.2.0/24. Запустить встроенный web proxy в "прозрачном" режиме и настроить на блоки на плохие сайты, задать правило для фаервола для пересылки на проксик пакетов из нашей новой 192.168.2.0/24.
http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

Чии Сб 21 ноября 2015 00:41:58 No.175119

>Философское

Ну, я как бы с Украины. У нас тут свои велосипеды изобретают.

>В целом всё Ок. Не правится, что ты используешь для учебных классов ту же подсеть, что и в основной сети (если я верно понял, что у вас 192.168.1.0/24). Возьми 192.168.2.1/255.255.255.0 для lan твоего сервака и 192.168.2.2 для тестового ПК.

ставил на lan сенса 192.168.0.1 - не помогло.

>И вообще микротик!

Выделить на один из портов отдельную подсеть 192.168.2.0/24
А вот тут просто не догадался. Надо будет попробовать.
Спасибо.

>>	Чии Сб 21 ноября 2015 21:26:36 No.175145 Файл: sample-0699739c828a4eeb2470d5358c195781.jpg -(137 KB, 850x1021, sample-0699739c828a4eeb2470d5358c195781.jpg) >>175119 Отпишись потом по результатам. Интересно.

>>	Чии Сб 21 ноября 2015 23:52:19 No.175152 >>175145 Конечно, в понедельник буду пробовать.

Чии Пн 23 ноября 2015 18:53:09 No.175213

>>175145
В общем, удалось получит доступ к веб интерфейсу установив на lan 192.168.2.1 Странно, что 192.168.0.1 не хотело работать, но на этом успехи и закончились. Локалка с сненсой установилась, но из локальной сети доступа в интернет нету(при этом сам роутер с сенсой сервера гугла пингует). Скорее всего, причина в настройках, но пока не смог разобраться(по умолчанию, все автоматически работать должно). Единственное что - я без понятия что ему на DNS прописывать.

>>	Чии Ср 25 ноября 2015 14:10:04 No.175265 Если сроки совсем поднимают (ака проверка завтра, а через неделю можно будет и нормально переделать), а идей никаких нет, попробуй совсем непрозрачный squid как аварийный вариант. Хотя прозрачный режим через iptables должен делаться легко.

>>	Чии Чт 26 ноября 2015 00:20:04 No.175280 >>175265 Да время, как раз таки пока терпит. Я этим в фоне занимаюсь просто. Копаюсь когда свободная минута есть.