12 | 07 | 2020

Язык WEB интерфейса

В разработке

Настройки прокси с WPAD

Для организации автоматической настройки подключения браузеров клиентов в разных ситуациях можно использовать разные технологии. К примеру, если компьютеры входят в домен, то можно настройки производить доменными политиками. 

Другим способом автоматической настройки параметров браузера является технология Web Proxy Auto-Discovery Protocol (WPAD) (протокол автоматической настройки прокси). Этот метод используется клиентами для определения местоположения конфигурационного файла с помощью DHCP и/или DNS, либо на основании указанного в настройках браузера URL файла конфигурации. Конфигурационный файл создается по Proxy Auto-Config (PAC) стандарту.

Как это работает

Перед тем, как загрузить первую страницу, браузер отправляет локальному DHCP серверу DHCPINFORM запрос для получения URL адреса PAC файла (берется из WPAD опции ответа DHCP сервера). Если DHCP сервер не предоставляет такую информацию, браузер пытается определить наличие файла с использованием локального DNS сервера. Имеется ряд стандартных URL PAC файла на основании DNS имени компьютера. К примеру, клиентский компьютер имеет имя mypc.otdel.org.local, тогда обращение будет происходить по следующим URL:

  • http://wpad.otdel.org.local/wpad.dat
  • http://wpad.org.local/wpad.dat
  • http://wpad.local/wpad.dat

 

Настройки DHCP

Для настройки DHCP требуется, чтобы он поддерживал опцию 252 ("auto-proxy-config" ). Опция содержит строковое значение URL файла авто-конфигурации  вида http://a.b.c/wpad.dat . Строка может содержать как DNS имя, так и IP адрес.

 

Создание конфигурационного файла 

 

Настройка браузера клиента

В браузере клиента возможно указать как автоматическое определение параметров подключения, так и непосредственно URL адрес конфигурационного файла.

Статья не закончена

Сетевой мост

Сетевой мост (bridge).

Кроме ролей маршрутизатора и файрвола pfSense можно настроить в режиме сетевого моста с возможностью фильтрации. В этом режиме два или более интерфейса объединяются и действуют по принципу умного свича в рамках одного сетевого диапазона. В одном устройстве можно создать сколько угодно подобных сетевых мостов при условии, что каждый интерфейс входит не более чем в один из них.

Рассмотрим пример настройки сетевого моста на двух интерфейсах Wan и Lan. Пусть имеется необходимость отделить некоторый сегмент от существующей основной сети и задать правила доступа из одной части сети в другую. Схема примера:

В примере показаны основная (Subnet One) и отдельная (Segment Two) сети, разделенные интерфейсами pfSense. Каждый из интерфейсов настроен со статическим IP адресом из диапазона локальной сети. В данном случае диапазон локальной сети 10.0.0.0/24. 

 

Настройка интерфейсов

Настройку начнем с интерфейса Lan, со стороны которого обычно и осуществляется доступ к Web интерфейсу. Для Lan интерфейса был выбран адрес 10.0.0.10/24. Настраиваем следующие опции:

  • Enable = on, включаем интерфейс.
  • Type = Static, статический адрес.
  • IP address = 10.0.0.10 / 24, указать адрес
  • Gateway = None, шлюз не указываем
  • Block private networks = off, блокирование  локальной сети отключено
  • Block bogon networks = off, блокирование Bogons сетей отключено.

 

Настройка Wan интерфейса практически идентична настройке Lan. Здесь в опции IP address указываем выбранный для интерфейса статический локальный адрес 10.0.0.3/24. Отличием является параметр Gateway:

Так как шлюз по умолчанию (default gateway) находится со стороны WAN интерфейса, то на Wan и указываем его наличие. При отсутсвии этого элемента в pfSense его необходимо создать и настроить. Для этого в меню System -> Gateways переходим на страницу Gateweys и добавляем новый элемент, если он не создан в системе для указанного шлюза.

В опции Interface выбираем интерфейс, со стороны которого расположен шлюз (здесь Wan). Задаем уникальное имя в поле Name и вводим адрес шлюз в поле Gateway (10.0.0.1). В поле Description помещаем комментарий к созданному элементу.

После сохранения этот шлюз будет доступен в опции Gateway интерфейсов. Возвращаемся в настройку интерфейса WAN и выбираем его.

 

Создание сетевого моста

После настройки всех участвующих в сетевом мосте интерфейсов можно перейти к его созданию. Входим в меню Web интерфейса в неприметный пункт Interfaces->(assign) и попадаем в раздел создания/управления интерфейсами. Переходим на страницу Bridges, и создаем новый сетевой мост нажатием кнопки '+'.

Здесь все интересующиe нас опции находятся на виду. Остальные (для продвинутых пользователей) скрыты кнопкой Show advanced options. В опции Member interfaces выбираем настроенные выше интерфейсы WAN и LAN. Выбрать несколько интерфейсов можно удерживая клавишу Ctrl на клавиатуре и мышкой щелкая по нужным именам интерфейсов. После этого вводим комментарий в поле Description и все сохраняем.

Теперь видим наш созданный сетевой мост с указанием входящих в него интерфейсов в таблице.

При желании созданному сетевому мосту можно назначить интерфейс и присвоить имя. После этого он будет доступен в правилах файрвола / NAT и др. разделах Web интерфейса. Для этого переходим на страницу Interfaces ...

(Показать, что этому сетевому мосту так же можно назначить интерфейс. Можно так же фильтровать и пр...)

 

Настройка фильтрации

Для работы сетевого моста NAT не нужен, поэтому необходимо отключить автоматическую генерацию правил и использовать только созданные вручную правила. Переходим с меню Web интерфейса Firewall -> Nat и открываем страницу Outbound (исходящий). Режим Nat переключаем на Manual outbound NAT rule generation. В таблице ниже не должно быть никаких правил, относящихся к интерфейсам сетевого моста. В примере ниже показано только одно правило к интерфейсу OPT1, не имеющего отношения на данном этапе к нашим настройкам. Все изменения на этой странице так же необходимо сохранять кнопкой Save.

( Тестируем и рассказываем о правилах фильтрации как на интерфейсах, так и на Bridge(Opt2), так и на Floating. Продумать разные аспекты фильтрации).

 

 

( Дальше: задействуем схему доступа к интернет через OPT1 из подсети LAN с помощью правил полиси-роутинг, Составить и разместить схемы сети).

 

 

Коротко о разном

В этом разделе находится краткая информация о решении различных вопросов. Думаю это будет особенно полезно начинающим.

 

Что делать, если необходимо контролировать доступ пользователей сети к Internet

Если в Вашей сети необходимо контролировать доступ пользователей к интернет, то наиболее простой способ - регулировать доступ с помощью правил файрвола. Этот способ имеет существенные ограничения, так как с его помощью нельзя контролировать URL, нельзя осуществлять аутентификацию и др.

Более интересным является применение прокси-сервера Squid, который имеется в пакетах pfSense. Он позволяет контролировать доступ пользователей к WEB сайтам, осуществлять авторизацию по LDAP / Radius / локальной БД, позволяет задать общую скорость доступа и скорость на одного пользователя. С помощью пакета LightSquid возможно ведение и просмотр статистики посещенных страниц каждым пользователем. Расширенная фильтрация прокси доступна с применением пакета SquidGuard.

Так же стоит упомянуть о наличии встроенной системы Captive Portal, имеющей широкие возможности в организации доступа пользователей к внешней сети.


Как ограничить скорость доступа в интернет

Если речь о WEB трафике и используется прокси-сервер Squid, то это решается средствами прокси сервера. Здесь возможно задать общую скорость, и скорость приходящуюся на отдельного пользователя. Остальной вид трафика регулируется с помощью TrafficShaper.

Если используется Captive Portal, то в нем имеются свои настройки скорости работы пользователей.

В остальных случаях настраивается Traffic Shaper.


Можно ли изменить язык интерфейса pfSense

Штатными средствами в настоящий момент эта задача не решается. Но подготовленный пользователь может произвести установку пакета (имя и ссылка на статью), позволяющего подгружать в систему различные языковые файлы. К сожалению, использование языковых файлов может привести к неработоспособности некоторых элементов WEB интерфейса, так как при трансляции допускаются ошибки. Но это можно исправить возвратом назад к англо-язычному интерфейсу.


 

 

Установка и удаление пакетов

Пакеты в pfSense - это дополнения, позволяющие существенно расширить возможности системы. Функция установки пакетов доступна в полной (HDD-installed) и в nanoBSD версиях. В связи с ограниченностью ресурсов nanoBSD систем не все имеющиеся пакеты смогут на них работать.

Для доступа к менеджеру пакетов необходимо перейти в пункт меню System->Packages. При этом откроется форма Installed Packages с уже установленными в системе пакетами. На первой закладке Available packages находится список доступных для установки пакетов.

 

Установка пакетов

Для просмотра доступных для установки пакетов необходимо открыть закладку Available packages со списком доступных пакетов. Пакеты находятся на сервере pfsense.com и устанавливаются нажатием кнопки '+' напротив выбранного пакета. 

Для примера произведем установку пакета прокси Squid. Находим указанный пакет в списке на закладке Available packages, и нажимаем кнопку '+' напротив пакета.

Запустится процедура скачивания и установки пакета squid. Ход установки можно контролировать в отображаемом окне Package Installer.

При успешном завершении установки необходимо пройти в WEB интерфейс установленного пакета и выполнить его настройку. В данном случае нужный пункт меню находится в Services -> Proxy server. Если теперь посмотреть закладки Avialable packages и Installed Packages менеджера пакетов, то можно заметить, что пакет squid переместился в Installed Packages. Теперь его можно обновить(переустановить) или удалить.

 

Обновление и удаление пакетов

На странице System: Package Manager в закладке Installed packages можно увидеть какая версия пакетов у Вас установлена и требуют ли они обновления. Это можно определить по содержимому колонки Package version. При доступности новой версии можно обновить установленный пакет полностью, либо только файлы WEB интерфейса. Разработчики обычно указывают версии используемых в пакете компонент, и при отличии только версии WEB интерфейса нет необходимости в обновлении всего пакета. К примеру, на изображении ниже показано доступное обновление для пакета squidGuard. Версия WEB интерфейса 1.4_2 не изменилась, а версия пакета 1.9 обновилась до 1.9.1.

Для обновления всего пакета нажмите кнопку PKG в строке таблицы, относящейся к выбранному пакету. Для обновления только WEB интерфейса, необходимо нажать кнопку XML. При этом будет запущена процедура установки выбранных компонентов. Обычно после обновления все настройки конфигурации пакета перечитываются заново автоматически. При обновлении пакета разработчики могут изменить (добавить/удалить) элементы управления в WEB интерфейсе пакета. Поэтому рекомендуется зайти в WEB интерфейс управления пакетом и убедиться, что все настройки верны, либо внести коррекцию и применить настройки заново. 

В случае если Вы решите удалить пакет из системы, это можно сделать с помощью кнопки X в той же строке. При удалении/обновлении все настройки пакета сохраняются в системе. При последующей повторной установке пакета обычно можно увидеть сохраненные настройки, сделанные в прежней инсталляции пакета.