Оказывается сквид начал ребилдить кеш, а так как его там набралось не мало то и загрузка/продолжительность этой операции оказалась приличной. Вычистил кеш, вроде полегчало. Дальше видно будет.

Да….
Это мой косяк. И невнимательность. Поправил на any - все ок.
И спасибо за линк.

А причем тут pfsense ?

угу. ступил. :)

но результат от этого не изменился

Выше оно описано

Настроил связку pfsense (1 сетевая карта) + hyper-v + hp procurve + vlan .
Большое спасибо ув. onemoreadm за оказанную помощь.

нужно всего пару компов направить через шлюз hide me. все остальное пусть работает по default route

Я уже отвечал, как это сделать. Не понимаю, чем вас пугает замена default на WAN.
Если этого не сделать как pfSense узнает через какой шлюз кого выпускать в интернет?

@werter:

1. Dest.addr - WAN address в Port forwarding
2. Что шлюзом у 10.4.0.2. Должен быть LAN2-адрес pf.

Первый пункт уже пробовал так сделать. Про второй забыл, что шлюз надо поставить LAN2-адрес pf. Сейчас исправил ошибки и все заработало. :) Спасибо!

Использую pfSense около трех лет.

Утрировал, 3 года назад поставил и забыл, потому что работает. :)

P.s. В правилах Port forwarding есть неверно настроенные. Например - SIP. Первое, проброшен для чего-то TCP. Второе, где проброс портов для RTP ?
Оно (ip-телефония) у Вас вообще работает для внешних клиентов?

RTP не знаю для чего может быть нужен.
SIP уже не помню для чего нужен. Ip-телефонии у нас нет, может разве что видеоконференции по cisco используется.

Вообщем проблема разрешилась. Похоже закешировались данные. Очистил в броузере и все ок :)

1. pfSense - да, последней версии. Воткнуть в него модем напрямую - не вариант. Антена (модем) висит на стене. Через 15-метровый кабель удлинитель еле дотянул до серверной. Через два кабеля - уже не работает. Так и пришлось вешать Зюхель там, гда кабель кончился (под потолком), чтобы витой парой дотянуть до шкафа.
2. Пока не знаю, таких задач не приходилось решать, а поверхностный поиск в Сети результатов не дал. Но уже начал изучать OpenVPN. Лишним точно не будет :)

Все же попробуйте suricata . В ней есть набор правил для ТОРа.
Только учтите, что система требует времени на настройку и обучение.

@Guf-Rolex-X:

т.е убери пробелы? как так? че ip адреса слитно должны быть прописаны? там же написано что через "точку с запятой" указывать, и зачем в конце убирать точку с запятой? типо так должно быть 192.168.50.5;192.168.50.131 ???

Там написано "точку с запятой", а не "пробел и точку с запятой". Они и не слитно будут. Между ними ведь знак ;
Либо можно создать два алиаса. В них добавить нужные адреса. В поля "Bypass proxy for these source IPs" и "Bypass proxy for these destination IPs" вписать только названия этих алиасов соответственно.

Zdravstvuj alastyrov,

Do not use the URL/Localfile to add the IP address. That is used for a URL or filename only. Leave it blank. You also do not need to set the 'Format' or 'State'.

Add the "66.102.9.0/24" to the Custom Address Box field at the bottom of the page only.

Set the Action to "Permit Outbound" or "Permit Both (Only if you want these IPs to access inbound by themselves).

Force Update.

Если в офисе стоит один ПК, то на офис (ip) выдается 10 Мбит/с целиком, если в офисе более 1 компа, то там всегда стоит роутер (НЕ СВИТЧ), который в свою очередь и является внешней точкой офиса (ip) и на него приходится уже 10 Мбит/с.
Поэтому полагаю, что все правильно настроено в этом плане.
А на офис я хочу давать не более 10 Мбит/с, что лимиттер с такими настройками и должен делать.
Внешний канал всегда выдает порядка 80-90 реальных Мбит/сек, а вероятность того, что 50%-90% пользователей одновременно что-то будут качать весьма маловероятна.

Я как-бы тоже поиском пользоваться умею, не надо за меня "поискать".
Инструкцию эту видел, но не стал по ней делать. Причины описал выше.
Интересует кто и как на практике настраивал применительно к российским реалиям, pppoe, и текущим релизам.
В теории вон написано "6to4 requires zero configuration" https://plus.google.com/+nialldouglas/posts/HifwMDCd5QE
но не работает на ростелекоме.

Сначала добавьте на вкладке geteways 10.30.100.1, а уж потом маршрут добавляйте.

Появился он от неправильной настройки wan подключения.
Поправил, теперь вроде как всё нормально стало.

s1.jpg
s1.jpg_thumb
s2.jpg
s2.jpg_thumb
r3.jpg
r3.jpg_thumb

Выше же написал.

Для блокирования\разрешения https необходимо :

1. Сквид версии 3

2. Сертификат для подсовывания клиентам, чтобы их защищенный трафик анализировать

3. Установка этого сертификата клиентам через GP или руками каждому.

4. Создание ACL в гварде, согласно Вашему ТЗ.

Проще всего будет отдавать компьютерам в сети дополнительные маршруты через DHCP сразу на DFL.