Назад | Перейти на главную страницу

Как использовать pfSense в качестве брандмауэра для назначения белых списков URL-адресов группам IP

В корпоративной сети без DHCP временным решением для внесения в белый список нескольких полезных сайтов является изменение файла hosts в Windows / System32 / drivers / etc /, но поскольку современные сайты, как правило, очень часто меняют свой IP-адрес, а также учитывая, что есть много клиентских компьютеров, попытка обновления файла hosts - не лучший вариант.

Итак, мы решили разместить брандмауэр pfSense между маршрутизатором и остальной частью сети, чтобы создать два белых списка, один для администраторов и один для клиентов, а затем назначить каждый белый список группе / диапазону IP-адресов. Например, администраторы вносят белый список в диапазон между 10.10.10.0 - 10.10.10.50 и значительно меньший белый список клиентов в диапазон 10.10.10.51 - 10.10.10.255.

Кроме того, существует потребность в балансировке нагрузки и, в частности, в предоставлении приоритета клиентам.

Итак, чтобы немного сузить вопрос, я хотел бы знать

  1. Подходит ли pfSense для такой работы? если нет, то что вы предлагаете?
  2. Если да, может ли pfSense сделать это как есть, или мне также нужно установить Squid?
  3. Я не могу найти очевидный способ создать белые списки и группы IP и связать эти два, как правильно это сделать?
  1. Да, pfsense - идеальный инструмент для того, чего вы пытаетесь достичь, и многое другое. 2 и 3. В pfsense есть определенные пакеты, которые могут помочь, например: прокси кальмара и охрана кальмара. Простое руководство по установке Squid, Squid Guard, ACL и черных списков.

Определенно используйте прокси Squid. Он понимает URL-адреса.
Большинство бесплатных межсетевых экранов прямо сейчас просто понимают IP-адреса и порты.

Вы можете выполнять простые фильтры на основе IP-адресов для исходных IP-адресов (администраторы против обычных пользователей)
Вы можете использовать фильтры целевых URL-адресов на основе регулярных выражений (для черных / белых списков)
Вы можете использовать аутентификацию для более сложной фильтрации

Документы Squid могут быть трудными, но проверьте https://workaround.org/squid-acls для относительно простого вступления.