在没有 DHCP 的公司网络中,将几个有用的站点列入白名单的临时解决方案是更改 Windows/System32/drivers/etc/ 下的 hosts 文件,但由于现代站点往往会频繁更改其 IP,并且考虑到有许多客户端电脑,尝试保持 hosts 文件更新并不是可行的方法。
因此,我们决定在路由器和网络的其余部分之间放置一个 pfSense 防火墙,以便创建两个白名单,一个用于管理员,一个用于客户端,然后将每个白名单分配给一个 IP 组/范围。例如,管理员白名单的范围是 10.10.10.0 - 10.10.10.50,而客户端白名单的范围则小得多,是 10.10.10.51 - 10.10.10.255
此外,还需要负载平衡,特别是优先考虑客户端。
因此,为了缩小问题范围,我想知道
- pfSense 是适合这项工作的工具吗?如果不是,您的建议是什么?
- 如果是,pfSense 是否可以按原样完成此操作,还是我还必须安装 Squid?
- 我找不到明显的方法来创建白名单和 IP 组并将这两者关联起来,正确的方法是什么?
答案1
- 是的,pfSense 是您想要完成的完美工具,甚至更多。2 和 3. pfSense 有一些可以提供帮助的软件包,例如 squid 代理和 squid 守卫。 安装 squid、squid guard、ACL 和黑名单的简单指南。
答案2
一定要使用 Squid 代理。它能识别 URL。
目前大多数免费防火墙只能识别 IP 地址和端口。
您可以对源 IP(管理员与普通用户)执行基于 IP 的简单过滤器。
您可以执行基于正则表达式的目标 URL 过滤器(用于黑名单/白名单)。
您可以使用身份验证进行更复杂的过滤。
squid 文档可能比较难懂,但可以看看https://workaround.org/squid-acls相对简单的介绍。