Igen, érdemes.

El Psy Kongroo

Szerintetek mitől lehet a következő?
Este még el tudtam érni az internetet LAN kábelen is és Wifin is. (Wifim úgy van, hogy a switch egy portjára rá van lógatva egy router.)
Ma reggel már csak a wifire csatlakozott eszközökön volt internet, a PC-n, TV-n nem. A hálózati eszköznél látszott, hogy kapott IP címet, a DNS szerver a pfSense. Belépve a pfSense-be elvileg rendben volt, bár a pfblockerNG sikított, hogy nem sikerült frissítenie a feedeket.

Eszembe jutott, hogy belenézzek a logba, mi történt éjjel és ilyeneket találtam:
-kernelpid 21006 (unbound), jid 0, uid 59: exited on signal 11
-dhcpleases71275Could not deliver signal HUP to process 21006: No such process.
És ez ismétlődik kb 5 percenként.

Egyébként újraindítottam a pfsense routert és azóta jó, de ez az eset némileg aggaszt.

Hogy a fenébe lehet blokkolni az internetelérését egy PC-nek a helyi hálón? Akárhol nézem annyi lenne a teendő, hogy a Rules/LAN-ban létrehozok egy olyan szabályt, hogy Action: Block, Source: a PC IP címe, destination: Any
De hiába csinálom meg, akkor is eléri a gép az internetet.

Ezt nézd meg: [link] . Ha nem szeretnél alias-ozni akkor a source-hoz az PC-d IP címét add meg. Annyiban talán jobb az alias, hogy ha több gépet is szeretnél aakár most, akár a későbbiekben blokkolni akkor azt egy szabállyal meg tudod tenni.

[ Szerkesztve ]

El Psy Kongroo

Akinek be van üzemelve pfSense alatt a NUT és még nem frissített 2.5-re és nem működik driver hibára panaszkodva a NUT, az frissítsen. Egész délután ezzel szoptam, végül kapott egy frissítést a pfSense és láss csodát működik újból. Pedig még csak nem is volt a NUT csomagnak frissítése.

El Psy Kongroo

Megcsinaltam ezt a szabályt, aktiváltam és le is tiltotta a netet. Mondom, kipróbálom mi van ha kikapcsolom a szabályt, tényleg visszajön-e a net, és visszajött. Viszont azóta már hiába kapcsoltam be újra, nem blokkol semmit. El kell telnie egy időnek mire életbe lép? Akkor először miért sikerült azonnal?

Destination legyen !LAN NET, tehát invert használod. Akinél több háló is van LAN, VLAN stb. ott meg alap hogy létre kell hozni egy Aliast, Networks kell választani és beadni a címeket mint pl. 192.168.1.0/24, 192.168.2.0/24, majd rules alatt !LAN NET helyett !Local_NET, tehát VLAN is engedted.

Ahogy bekapcsolod, mented és alkalmazod a szabályt annak rögtön életbe kell lépnie. Legalábbis nálam így működik. Próbáld emg esetleg, hogy újraindítod a roputer-t. Frissítetted már a rendszert?

El Psy Kongroo

Hétvégén csináltam egy friss telepítést a legújabb verzióval. Majd reggel csinálok egy restartot, most kinyírna a család :D

Világos, én is csak úgy sunyin fürdés közben frissítettem, hoigy ne legyen gond . Sorrend egyébként rendben a szabályoknál? Ne feledd, hogy fentről lefelé halad a szabályokkal, szóval ha esetleg egy teljes engedő szabály alatt van a tiltó szabályod úgy nem fog működni, Ha tiltó szabályt használok azt általában legfelülre szoktam beállítani. Pl. legfelül van egy Anti Lockout szabályom, alatta egy Ping-et engedő szabályom, és rögtön alatta a tiltó szabály, majd alatta a többi.

El Psy Kongroo

Igen, úgy van nálam is, felülre pakoltam a tiltó szabályt. Kipróbáltam újra és blokkolja az internetet.
Viszont a torrent vígan fut azon a gépen. Az hogy lehet? Hogy tudja megkerülni az IP cím alapú blokkolást egy torrent letöltés?

Ha addig nem jön senki este ránézek én is, hogy mit is csinál konkrétan a laptopom ezzel a szabállyal.

El Psy Kongroo

Még egy problámám van. pfblockerNG szépen blokkolja az oldalakat...amíg a PC-n nem állítok be a hálózati beállításnál custom DNS szervert. Onnantól fogva simán jönnek a reklámok.
Találtam egy csomó oldalt ahol ezt elvileg kiküszöbölik az egyéb DNS kéréseket átirányítva magára a routerre és hasonló megoldásokkal.
Nálam ezek nem működnek. Mindent lépésről-lépésre ugyanúgy csinálok ahogy a cikkekben, videókban van, mégsem működik.
Ja, és a wifis eszközeimen már megint nem blokkolódnak a reklámok, pedig egy darabig jól ment azokon is...

[ Szerkesztve ]

Sikerült megnézned?

Közben felmerült egy újabb kérdés. Meg lehet azt oldani, hogyha van egy "felesleges" LAN portom a pfsense PC-n, be lehet azt úgy állítani, hogy az egy az egyben mindenféle tűzfalszabály nélkül működjön? Az a tervem, hogy a családnak fenntartanék egy wifis routert amin nem éreznék meg a sok pfsense kínlódásomat, tehát azt a routert erre a LAN portra dugnám rá.

Igen, simán.
Az egyik LAN portra csinálsz egy eltérő címtartományú belső hálót és erre a porta kell kötnöd egy routert, vagy switchet.

Eladó: Apple iPad mini 1 (2db)

De a DNS resolver és az pfblockerNG az globálban működik, nem tudom külön alkalmazni csak erre vagy arra a LAN portra.

Szia. Megnéztem tegnap, csak már írni nem volt erőm. Érdekes módon a torrent nálam is futott tovább. A ping akkor ment tovább, ha ping közben alkalmaztam a tűzfal szabályt, ha másik ping-et indítottam ott már nem ment, illetve ha leállítottam a pinget majd újraindítottam akkor sem ment tovább. Weboldalak nem jöttek be, egyedül az ahonnan a torrentet töltöttem, gondolom cache-ből(?) mehetett még. Most hirtelen nem tudok másra gondolni mint, hogy a már meglévő, azaz az established kapcsolatokat (Diagnostic >> States menüpont) nem bontja a tűzfal. Hátha jár erre valaki aki jobban képben van ezzel kapcsolatban és jobb magyarázatot tud adni. De most már ez engem is érdekel, majd még próbálkozom utánajárással külföldi fórumokon.

El Psy Kongroo

Én is azt tapasztaltam, hogy a már fennálló kapcsolatot nem bontja csak az újakat. Viszont ha leállítom a torrentet és megint elindítom, az akkor is simán megy tovább. Azt még nem próbáltam, hogy kikapcsolom a gépet is és a routert is és az újraindítást követően vajon eltud-e indulni a letöltés a tűzfal tiltása ellenére is, de gyanítom, hogy az akkor is menne tovább, még ha a YT, böngészés és társai blokkolódnak.

Most nincs előttem a router felülete, de amikor létrehozod az új hálózatot akkor ott ahol megadod a DHCP tulajdonságait az adott hálózatnak tudsz külön DNS szervert is adni neki. Bár rég használtam a pfBlocker-t, de szerintem ott is ki lehet jelölni, hogy mely interfészeken működjön. Általában a devel verziót szokták ajánlani pfblocker-ből, ami ugyan beta-ként (?) szerepel a csomagok között, de teljesen stabil. Ezt esetleg lesd meg: [link]

Nálam pl. a fő hálózat VPN mögött megy adguard DNS-el, de van egy VLAN-om ami viszont teljesen sima, mintha nem használnék semmit: nincs VPN mögött, és az ISP-től kapott DNS-t használja. ezen a VLAN-on mennek a dolgozós laptopok.

[ Szerkesztve ]

El Psy Kongroo

Erre gondolsz? [kép]
Vajon a custom beállított DNS címet nem fogja valamelyik szabály vagy DNS resolver forwardolni a belső DNS szerverhez?

Igen a torrent ment nálam is tovább, sőt tudtam hozzáadni újat is, bár ugyanabból a trackerből adtam hozzá (linux mint ISO-kal próbáltam ki: cinnamon, mate és xfce verziók). Azt még ki fogom próbálni, hogy más trackerből tudok-e hozzáadni torrentet és azzal mit fog kezdeni. A routert nem kell kikapcsolni a teszthez de a gépet lehet, hogy igen. Ezt akarom majd még én is kipróbálni, illetve majd akarok érdeklődni valamelyik külföldi fórumban is, hogy most akkor kihagytam valamit a tiltó szabályból, vagy valamit máshogy kell-e beállítani. Annyi a bajom, hogy a netgate fórumán nem igen válaszolnak ha érződik a kérdezőn, hogy nem egy hálózati / BSD-s ember.

El Psy Kongroo

Igen, azt hiszem erre. Ha jól tudom nem fogja. De nézz szét még itt is: [link] , keresd a clearnet kifejezést, de hasznos egyébként az egészet átrágni. Most én is rosszul emlékeztem, mert úgy látom a DNS forward-el van megoldva a clear VLAN. Szerintem ez egy egész jó kiindulópont konfiguráláshoz, ráadásul már a 2.5-höz ki is egészült.

[ Szerkesztve ]

El Psy Kongroo

Működik. Nem blokkolódnak a reklámok, de attól még lehet böngészgetni meg ilyenek. Már csak azt kell megoldanom, hogy ne lássák a másik hálózatot, tehát csak guest-ként működjön, viszont azért rálehessen nézni arra a hálózatra TightVNC-vel.

Szeparáláshoz, ha pl. ezek az interfészeid vannak: WAN LAN Guest

Firewall >> Rules >> Guest

Action: Pass
Interface: Guest
Address Family: IPv4
Protocol: Any
Source: a legördülőből válaszd ki a Guest NET-et
Destination: Invert match: pipa ; legördülőből válaszd ki a LAN net-et
Log: ha szeretnéd logolhatod, akkor pipa
Description: adj neki valami címet

A Guest-et cseréld ki arra ami nálad a neve a vendég hálónak.

Ez egy alap tiltás a hálózatok között. Ebből kiindulva kellene majd engedned a TightVNC portját, hogy azt tudd használni. Pl: csinálj egy alias-t ahova az olyan portokat fogod felvenni amiket szeretnél majd a későbbiekben átengedni. Erre az alias-ra pedig készíts egy tűzfalszabályt, amit a tiltó szabály elé teszel.

[ Szerkesztve ]

El Psy Kongroo

Köszi. Bár még mindig nem értem mi az értelme a felkiáltójelnek, Invert match-nek. Az nem ugyanaz mintha Blokkolnám a Guestet?

De blokkolhatod is, azaz az Action: Block lesz, csak akkor az Invert match-et ne pipáld ki. Tulajdonképpen ugyanaz a kettő.

El Psy Kongroo

Tesztelgetem órák óta és most valamibe belenyúltam. NEM a LAN rule határozza meg a torrent letöltésének a tiltását vagy engedélyezését hanem a WAN!! Ahogy tiltom a WAN-on azt a portot ami be van állítva a torrent kliensben, azonnal kezd csökkenni a letöltési sebesség egészen nulláig.
Ez nekem nagyon furcsa, nem fordítva kéne működnie?

Na igen, de ezzel a teljes otthoni hálózaton tiltva lesz az a port. Mi meg ugye csak egy adott gépen szeretnénk tiltani mindent a belső hálón kívül.

El Psy Kongroo

Egyelőre ezt találtam: [link]. Itt is említik, hogy tűzfal blokk alkalmazásakor hasznos kiüríteni a State táblát.

El Psy Kongroo

Most azzal küzdök, hogy a Guest-LAN portra kötött gépeket lássam a sima LAN hálózatról. Más az alháló címe mindkettőnek. Az egyik 192.168.0.x a másik 192.168.1.x
Érdekes módon a Guesten lévő PC-t simán elérem LAN-ról TightVNC-vel. Viszont az Asus wifi router webes felületét nem. Mintha nem is létezne. Úgyhogy jelenleg úgy tudom LAN-ról piszkálni a router felületét, hogy TightVNC-vel rákapcsolódok a PC-re, és annak a böngészőjével lépek be a router felületére. Ez elég nevetséges, nem? Nem igaz, hogy nem tudom összehozni, hogy egyből a LAN-ról kapcsolódjak rá. Próbáltam már mindenféle szabályt, semmi sem működik.

[ Szerkesztve ]

Bár ha nincs AP mód mert mondjuk régi a router akkor gondolom nem értetted mi volt a gondja:
Ha az Asus wifi router címét nem a pfSense osztja, hanem fix címen hagytad a protokolt (tehát beírtál egy címet és tiltottad a dhcp-t ahelyett hogy csak a protokolt átraktad volna dhcp-re Asus wifi LAN résznél), akkor Asus wifi nem ismeri az átjárót, tehát ott ahol fix címet kapott a gateway részen be kell írni a saját átjáróját (két átjáró is van ugye, ajánlott a sajátját beírni ha már elszeparáltad, nem pedig a fő routerét).

[ Szerkesztve ]

Azt hiszem értem. Legközelebb kipróbálom

Lehet, hogy hülye kérdés, de a tűzfal le tud tiltani olyan forgalmat ami nem rajta megy keresztül? Pl. switch van a routerbe dugva, abba 2 eszköz. Az egymás közti forgalmat meg tudja akadályozni a tűzfal? Vagy csak 2 interface között?

Az mitől van, hogy a logokban 1 órával le van maradva minden? A dashboardon ez áll: Current date/timeSun Feb 28 19:50:34 CET 2021
A logban viszont ami épp történik az Feb 28 18:50:34
A General setupban Europe/Budapest az időzóna.

[ Szerkesztve ]

A téli - nyári időszámítás miatt van. Elvileg ami most van az el van tolva a CET-hez képest egy órával.

Buliban hasznos! =]

Én is erre gondoltam, de akkor miért nem rossz a rendszeridő is, miért csak a logban?
Átállítottam GMT+1-re és most jó, de akkor minden átálláskor kézzel át kell állítanom?

NTP server van beállítva? Nálam a 2.pfsense.pool.ntp.org van beállítva. A logban is a rendes időt látom.

El Psy Kongroo

Nálam is ez az NTP szerver van beállítva, default ez volt.

Más tippem nincsen... Még esetleg a Services >> NTP >> Settings menüpontot lesd meg, hogy ott minden be van-e pipálva, és az interface-ek is ki vannak-e jelölve rendesen.

[ Szerkesztve ]

El Psy Kongroo

Ezek szerint. Újabb érv a téli-nyári időszámítás ellen.

Buliban hasznos! =]

Telepítés után néhány napig a Dashboardon lehetett látni a CPU pillanatnyi órajelét. Ezt már napok óta nem látom. Találkoztatok már ilyennel? Én kapcsoltam ki valahol véletlenül vagy magától eltűnik?

Következő kérdés, legalább pörgetem a topikot
Amikor csinálok egy pfsense rebootot, újraindítás után egyik kliens sem tud csatlakozni az internethez. IP címet kapnak, stb. Ahhoz, hogy minden helyreálljon, mégegy reboot szükséges. Miért lehet ez?

Reboot után az idő 2 órával le volt maradva. Visszaállítottam az alap, Budapest zónára és most pont annyit mutat amennyit kell. Lehet, hogy rossz dátummal vagy idővel indul el a pfsense, az addig kiosztott DNS címeket érvénytelennek észleli azoknál a klienseknél amik közben végig online voltak és ezért nem tudnak kapcsolódni az internetre?

Néha kiírja, néha nem írja ki. Nem tudom mitől függ. Nálam is ilyen.

El Psy Kongroo

Sziasztok,

Jelenleg van egy pfSense VM-om egy fizikai LAN és egy fizikai WAN NIC-kel.

A LAN-ra van DHCP scope felhúzva.

Ha hozzáadok egy plusz (virtualis) NIC-et a LAN oldalhoz a többi VM számára (jelenleg azok is fizikai NIC-en vannak a switch-ből visszakötve), akkor a jelenleg DHCP scope kiterjeszthető arra is, vagy érdemes inkább egy párhuzamos scope-ot belőni mellé, és hagyni a pfSense-t, hogy intézze magának a routing-ot a LAN interface-ek között?

Köszi előre is.

[ Szerkesztve ]

Nevermind...

Szombat reggel zökkenőmentesen frissítettem én is 2.5.0-ra.
A pfBlockerNG DNBSL-t reload-lni kellett, de egyébként más probléma nem volt.

A frissítéskor nekem is 3.0.0_10-s volt.

A pfBlockerNG 3.0.0_14-s verzióval nekem rossz tapasztalatom volt, mert felmelegítette a kütyüt 78C-ra és kézrátétellel is igen meleg volt a ház.
Jelezte a frisítést 3.0.0_15-re, amit nemrég megcsináltam, azóta kezd hülni. Felételezem a 14-sben valami hiba lehetett, ami ezt okozhatta (korábban nem volt ilyen melegedés).
Ha 14-s vagytok figyeljetek az esetleges melegedésre.

Nem biztos, hogy a csomaggal volt a gond. Nálam pl. az ntopng melegítette a minipc-met frissítés után. Egy újratelepítés és reboot viszont megoldotta.

El Psy Kongroo