ни у кого никаких идей?

@aligar:

В общем, проблема проясняется.
При попытке проброса порта зависает.
При использовании интерфейса PPTP - не виснет, однако порт не открывается.
При использовании интерфейса WAN - умирает.

а теперь подробно, а не сам с собой

И где скриншоты? уже проверил?

У меня была такая задача. Часть юзеров имеет полный доступ к инету, а часть имеет ограниченный доступ (2-3 сайта только лишь для работы).
Вот как я это реализовал:
1. В Destinations создал 2 правила Blocked_site и allowed_site.
В allowed_site заносим сайты которые могут быть разрешены (2-3 сайта для работы)
В Blocked_site - те что нужно блокировать (для юзеров с полным доступом игры/порно/музыка/фильмы)

2. В  ACL создаю 2 парвила Blocked_site и allow_user.
Для правила Blocked_site
Поле Source IP adresses and domains заношу юзеров которым разрешен полный доступ к инету.
В Destination ruleset:
  [Blocked_site]        - deny /блокируем доступ к запрещенным сайтам
  [allowed_site]        - allow /разрешаем доступ к разрешенным сайтам
  Default access [all] - allow /разрешаем полный доступ к инету

Для правила allow_user
Source IP adresses and domains - вношу список адресов которым разрешен ограниченный инет
В Destination ruleset:
  [Blocked_site]        - deny /блокируем доступ к запрещенным сайтам
  [allowed_site]        - allow /разрешаем доступ к разрешенным сайтам
  Default access [all] - deny /блокируем полный доступ к инету

Таким образом нужные пользователи могут ходить только на те сайты, которые я им разрешил.

ЗЫ. Немного напутал с именами правил, но эт по неопытности  ;D

@djlexx:

а как быть с компами с другой сети.допустим в основной конторе на PF заведена корпоративка-сеть.в другом месте(филиал) тоже подключена таже корпоративка.надо чтоб с филиала ходили в инет через основную контору.у меня это все работало уже год с копейками без нареканий.

рисуй схему, будем думать

@zar0ku1:

@Eugene:

Похоже нет сертификата

Привет Капитан очевидность :D

В нашем сложном мире нельзя быть увереным ни в чём, что мне было недавно наглядно продемонстировано XYEBA'ом -)

@tamaki:

@dvserg:

2. Не получиться, только ограничение скорости на каждого юзера (что тоже неплохо работает в плане ограничения)

А есть какой-либо еще вариант? На основе pfsense(девелоп. версия, например с установкой дополнительного софта), либо других спец. дистрибутивов с интуитивно-понятным WebGUI? Потому, как ограничение потребляемого трафика, очень критично.

Если хотите-поищите abills / netams (забыл как павильно). Тема уже была в русской ветке. Поиск по форуму хорошо работает.

Хорошо, что я не матерюсь.

DHT использует протокол UDP.

deny udp from any to any =)

Не надо ната? - удаляй нат-правило смело! ломать - не строить. Поверь, ната не будет.
Однако, это не DMZ, а извращение какое-то (на мой скромный взгляд).

Network diagram?

в правилах не нужно испльзовать gateway, надо ставить default.

@zar0ku1:

теперь давай разбираться, что ж у тебя не отдает…
какие ты ОИДы запрашиваешь, и что тебе отвечает?

разобрался )
сделал так
Target[gw]: 3:public@192.168.100.3

Красивые картинки.
на pfSense, когда тоннель "зелёный" и постоянный пинг запущен
tcpdump -ni <wan interface="" name="">host</wan>

Да, перед этим делом надо отдохнуть хорошенько, потрудиться придётся наславу. Сегодня сложно порно отфильтровать… -)

@Eugene:

я бы не злоупотрелял any. На то он и firewall.

Конечно  ;D ;D ;D

@alphil:

это локалка куда подключен WAN port.

Неплохо звучит. :)

@darchik:

Всем привет!

подскажите как организовать такую схему:

Пфсенс с двумя ВАНами, на обоих стат.реальные адреса. к примеру ххх.ххх.ххх.ххх на котором висит почта, скажем МХ1 и ууу.ууу.ууу.ууу - МХ2. В локалке стоит Почтовик Коммунигейт ПРО с двумя доменами, которые МХ1 и МХ2. Как сделать так чтобы почта которая приходит через ИП МХ1 попадла на домен МХ1 и ответ уходил через него же. Соответственно для МХ2. Да и через этотже ПФСенс идет и локальная сеть в инет.

Заранее благодарен.

Что-то мне подсказывает, что оно так и работает, разве нет?