Cách mount thêm ổ SSD làm Squid Cache proxy của pfsense Tường lửa v2.4


Khi Tường lửa pfsense đã khởi động, bạn sẽ cần phải đăng nhập thông qua SSH và nhấn phím số 8 để kết nối với các bộ lệnh Remote Shell server.

Bây giờ, tạo một ‘Mount point, cho ổ đĩa SSD mới nằm trên hệ thống tập tin của bạn.

Chúng ta sẽ tạo 1 thư mục tên: squid nằm trong thư mục /media, thông qua màn terminal ta gõ lệnh: mkdir /media/squid

 

Bây giờ chúng ta sẽ cần tìm ra tên duy nhất mà ổ đĩa của bạn đã được thiết đặt. 

Bạn có thể làm điều đó bằng cách liệt kê tất cả các thiết bị ổ đĩa có trên pfsense Tường lửa bằng cách chạy lệnh sau:  gpart list -a

Geom name: ada0

modified: false

state: OK

fwheads: 15

fwsectors: 63

last: 31457279

first: 63

entries: 4

scheme: MBR

Providers:

  1. Name: ada0s1

 

Sau đó dùng lệnh: gpart show

 


 

Nếu phát hiện ra hệ thống ổ SSD đã bị định dạng tự động trên pfsense không đúng theo chuẩn ufs, ta có thể dùng thêm lệnh: gpart show ada1

Để xác định chi tiết các partition trong ổ SSD ada1 có phù hợp. Ta thấy có định dạng ms-basic-data không phù hợp với FreeBSD của pfsense để có thể làm cache. Cần phải xóa định dạng ms-basic-data của ada1 làm lại.

Ta dùng 2 lệnh:

gpart delete -i 1 ada1

gpart delete -i 2 ada1


Sau khi xóa xong ada1 và dùng lệnh kiểm tra lại: gpart show ada1


Ngoài lệnh tạo lại định dạng ổ GPT cho ổ ada1: gpart create -s GPT ada1

Ta cần tạo các phân vùng cho ổ ada1 theo chuẩn ufs bằng lệnh: gpart add -t freebsd-ufs ada1


Tiếp theo ta sẽ cần tạo dạng filesystem cho phân vùng định dạng mới có tên ada1p1:

newfs -U /dev/ada1p1

 

 

Sau đó, chúng ta cần sửa file cấu hình boot của pfsense cho phép luôn mount và bật ổ cứng SSD thứ 2 khi HĐH khởi động.

Kiểm tra nội dung file cấu hình fstab bằng lệnh: cat /etc/fstab


Lúc này ta sẽ dùng lệnh: vi /etc/fstab để sửa nội dung thêm cho file boot:

Ta sẽ thêm dòng: /dev/ada1p1    /media/squid    ufs    rw    2    2

Lưu file đã sửa bằng nhóm bàn phím : wq

 

Lúc này, nếu dùng lại lệnh kiểm tra cấu hình file boot của pfsense: cat /etc/fstab


Tiếp theo ở màn PuTTy gõ lệnh: mount /media/squid

 

Để xác nhận đĩa được gắn kết bằng cách chạy lệnh mount và đảm bảo bạn có thể thấy parition mới của mình được gắn ở vị trí cần thiết

Ta gõ lệnh: Mount

 


Lưu ý: để bật được dịch vụ Squid Cache Proxy trên pfsense plugin phải cài và cấu hình chạy với 2 dịch vụ khác là:



 

 

Chúc các bạn thành công !

 


 

Làm thế nào có thể cấu hình máy PC không join domain và chặn chỉ cho user/device vào được 1 URL Website duy nhất ?


Bước 1. Xác định dải IP của website cần mở:

Trước hết cần phải gõ lệnh CMD để ping Command Prompt  ping địa chỉ web URL nhằm xã định IP của website:

Ping s-ft.abegroup.jp

và bạn sẽ nhận được địa chỉ IP của website

Pinging s-ft.abegroup.jp [202.212.32.49] with 32 bytes of data:

Ngoài lệnh ping, bạn nên dùng cả lệnh nslookup để kiểm tra dải ip của website này có dùng DNS, PTR chính xác không:

image

Bước 2. Cấu hình Firewall Windows client

Mở Control Panel > windows FireWall > chọn Advanced Setting bên tay trái

mở tiếp Outbound Rule và bấm chọn New Rule  bên menu tay tráienter image description here

  • New OutBound Rule Wizard chọn Custom và bấm Next
  • Màn hình Program bấm chọn All Program và bấm Next
  • Trong protocol and ports bỏ chọn default Setting và bấm Next
  • Trong màn Scope dưới mục Which remote IP address Does This rule apply to? hãy bấm chọn This is address range:

Lưu ý:

– Riêng phần này do yêu cầu đầu bài là chỉ mở được 1 địa chỉ website –> bạn sẽ phải chọn cách chặn gần như toàn bộ các địa chỉ website khác

vậy, địa chỉ website trên thế giới có tới hàng tỉ, làm sao ta biết hết tên website mà chặn –> nên chặn dải IP !

– Chặn dải IP không khéo thì chặn cả IP LAN, DNS LAN, Gateway LAN… và chặn luôn cả dải IP có PTR, DNS internet của Website cần cho phép truy cập.

– Cần dùng nslookup để quyét thông tin về Web site cần mở dải IP (xem lại bước 1).

Tóm lại, bạn sẽ cần cấu hình Scope > Which remote IP address Does This rule apply to > This is address range:

Ví dụ: 

1. Chặn dải nằm ngoài mạng LAN:  1.0.0.1 – 9.255.255.255

2. Chặn dải nằm ngoài mạng LAN : 11.0.0.0 –  202.212.31.255 (ip phía đầu dải ngoài website cần mở)

3. Chặn dải nằm ngoài địa chỉ website cần truy cập: 202.212.32.255 – 255.255.255.253 (ip phía cuối dải ngoài website cần mở) .

 

  • Trong màn Action chọn Block the connection và bấm Next

  • Trong màn Profile chọn cả 3 check box Domain, Private, Public và bấm Next
  • Trong màn Name hãy chọn nhập tên cho Rule đó và bấm Finish.

 

Bước 3. Chạy test website cần cho phép truy cập và test luôn website khác

Chúc các bạn thành công !