Назад | Перейти на главную страницу

Как настроить pfSense для разрешения / запрета веб-сайтов для каждого клиента (или диапазона IP-адресов)

Я хотел бы знать, как реализовать более детальную фильтрацию в pfSense.

Сценарий:

pfSense с 2 WAN и 1 LAN
160 клиентов с DHCP

Я хотел бы знать, как разрешить веб-сайты для каждого клиента.

Пример:

группа A разрешить веб-сайты X и запретить веб-сайты Y
группа B разрешает сайты X и разрешает сайты Y
группа C разрешить сайты X и разрешить сайты Y и разрешить сайты Z

Как выполняется такая конфигурация?

Спасибо за помощь

Эрн

Вы можете сделать это с помощью Кальмар. Возможно как прозрачный прокси? Вам решать...

Установите squid пакет на вашем брандмауэре pfSense из Система-> Менеджер пакетов.

Перейти к Сервисы-> Прокси-сервер Squid-> Общие и внизу нажмите Показать дополнительные параметры

Здесь вы можете добавить собственные списки ACL в поля. Видеть http://wiki.squid-cache.org/SquidFaq/SquidAcl для подробностей об этом. Вы можете получить точный контроль, который вам нужен, просто прочитав документацию.

pfBlockerNG может это сделать.

Кроме того, это может сделать новая функция тегов в Unbound без дополнительных компонентов. Подробнее на Unbound's домой.

Он поддерживается только в Unbound 1.5.10 и новее, поэтому вам может потребоваться обновить pfSense.

Конфигурация немного затянута, даже запутана, изощренность приходит с сложность. Возможно, в будущем для него появится графический интерфейс pfSense. Это новая функция.

Интерфейс веб-администратора pfSense> Сервисы> DNS-преобразователь> Пользовательские параметры

# give pfSense a server: tag so it puts directives in correct place
server:                                      

# define a new tag
define-tag: "websiteX"
define-tag: "websiteY"
define-tag: "websiteZ"

# create access control entry
access-control: 10.1.1.0/24 allow  # group A
access-control: 10.1.2.0/24 allow  # group B
access-control: 10.1.3.0/24 allow  # group C

# tag the access
# allocate ip ranges to the tag
access-control-tag: 10.1.1.0/24 "websiteX"     
access-control-tag: 10.1.2.0/24 "websiteX"     
access-control-tag: 10.1.3.0/24 "websiteX"     
access-control-tag: 10.1.1.0/24 "websiteY"     
access-control-tag: 10.1.2.0/24 "websiteY"     
access-control-tag: 10.1.3.0/24 "websiteY"     
access-control-tag: 10.1.1.0/24 "websiteZ"     
access-control-tag: 10.1.2.0/24 "websiteZ"     
access-control-tag: 10.1.3.0/24 "websiteZ"     

# create the local-zone, and allow normal service 
#  which allows non-blocked users access
#  and allow all types like A and AAAA and CNAME    
local-zone: www.websitex.com typetransparent  
local-zone: www.websitey.com typetransparent  
local-zone: www.websitez.com typetransparent  

# tag the domain
local-zone-tag: www.websitex.com websiteX       
local-zone-tag: www.websitey.com websiteY
local-zone-tag: www.websitez.com websiteZ       

# ensure local data served first
access-control-tag-action: 10.1.1.0/24 "websiteY" redirect  
access-control-tag-action: 10.1.2.0/24 "websiteZ" redirect  

# Send users to your polite internal block page
access-control-tag-data: 10.1.1.0/24 "websiteY" "A 10.1.1.1"
access-control-tag-data: 10.1.2.0/24 "websiteZ" "A 10.1.1.1"