PfSense - internet tiltás termenként tanárnak.

FreeBSD-all

Sziasztok!

Idén az iskolában át akarok állni pfSense tűzfalra. Ezzel kapcsolatban lenne egy problémám:

Eddig a tantermek internettiltása úgy működött, hogy Ubuntu szerveren volt egy ipset, mely a tiltandó ip címeket tartalmazta. Egy saját php scripten keresztül tudták a tanárok az ipsetbe egy gombnyomással betölteni az adott teremben lévő gépek fix ipcímeit, vagy törölni onnan. Az iptables-ben pedig volt egy szabály, mely blokkolta a kimenő forgalmat az ipset-ben lévő ipcimekről.

Na most pfSense-ben ugyan erre a célra ott van az Aliases, ahol csoportokban fel tudom venni az egyes termek gépeinek ipcímét. Valamint tudok készíteni egy Rules-t, mely tiltja az adott Aliases-ben lévő ipcímeket.

A kérdés a következő. Hogyan tudnám megcsinálni akár más megoldással is, hogy az informatika tanár ha szükséges le tudja tiltani egyszerűen az internetet a teremben. Valmint ha a régi módszer működne tovább, hogyan tudnám ezt megoldani php scriptel pfSense-ben?

pfSens-en nem találtam apache modult, de mivel webes felületű maga a kezelőfelülete, így valamilyen webszerver fut rajta. Melyik könyvtárat használja, ha módosítom a php scriptet pfSense-hez, azt hova tudnám betenni, hogy meg lehessen nyitni?

  • 1682 megtekintés

( uid_20269 | 2017. 07. 04., k – 07:45 )

Különösebb mókolás nélkül én vagy a proxy kikapcsolásával vagy egy teremre vonatkozó NAT szabállyal oldanám meg a dolgot
--
God bless you, Captain Hindsight..

Nálam is van olyan user pfSense alatt, aki mindenhez hozzáfér, csak a konfig-ot nem tudja menteni
Tudom mire gondolsz, Sulix alatt volt valami hasonló, hogy az xxx.xxx.xxx.20-as IP-k kivételével tiltott minden forgalmat, ezek voltak ugyebár a tanári gépek
Majd még gondolkodom rajta, de most munka van
--
God bless you, Captain Hindsight..

A fenti javaslattal megoldható. Anno 2007-ben nekem is volt egy ilyen megoldásom, Squid proxy-val, némi perl és hmtl-el mókolással egy html kezdőlapra elmenve, ami csak a tanári gépen jött be (apache mókolás)bejött a "tanári vezérlőrendszer" oldala, ahol a 4 tanár a 4 tanterembe ki-be kapcsolgathatta a netet. (tudott még mellette dolgozat beszedést és gép kikapcsolást is, de ez itt nem releváns)
Squid-al minimális tudással létrehozható (én pl akkor néztem milyen is a perl és pár perc google-vel meglett amit akartam.) a dolog. A diák gép termek ismert címtartomány legyen és ne változzon (statikus dhcp) és gyakorlatilag az oldallal amit csinálsz generálsz konfig állományt, majd az elküldéskor egy squid reload-ot. A squid-ban egy konkrét szabályt hozol létre a tiltásra és egy fájlban tárolod a címeket, na ezt a fájlt generálod a weboldallal.

--
Rózsár Gábor (muszashi)

( elod v | 2017. 07. 04., k – 09:53 )

Ezen fog keresztülmenni a belső L3 forgalom is? Failovert tervezel?

( bucko | 2017. 07. 04., k – 19:16 )

A pfSense tartalmaz egy captive portal szolgáltatást, amivel ugyanezt meg lehet oldani, pl. ip lista átengedése.
Jó esetben az user management segítségével kialakítható olyan user (tanárok) aki a captive portal kezelésére jogosult.
Ha elfogadsz egy jótanácsot, akkor a pfSense képességeit kellene először megismerni. Valószínűleg sokkal bonyolultabb dolgokat is meg lehet vele oldani, mint gondolnád. ;) Csak egészen másképp.

( madmartigen v | 2017. 07. 05., sze – 20:18 )

Mivel kerdezted, pfSense-en Nginx fut.

egy config file van - /cf/conf/config.xml ha kitalalod, hogy ezt hogyan kell modositani, szerintem siman lehet php scriptet v akarmilyen scriptet irni ra.
pfSense web interface ha modositast csinalsz a tuzfalon mondja, hogy akkor elmentettem, de "Apply" - ezt is gondolom lehet scriptbol talan innen a reload firewall resz
https://www.linuxnet.ch/blog/technical-blog-1/post/important-cli-comman…

Konkret megoldasom nincsen, de ne errefele indulnek el

-+-+-+
Dropbox tarhely
Cave Canem
+-+-+-