Подскажите что за процесс pgrep? Грузит систему на 100% в составе proxmox. Помогает перезагрузка.

Я не про это. У них терминология несколько иная.

На скрине у вас всего одно правило шедулера, к-ое вкл. много расписаний. Вот они все и работают.
В вашем случае необходимо создать еще одно правило шедулера с необх. расписанием и использовать только его.

Дак время там не перекрывается… Есть начало и конец времени. Или лучше не использовать несколько диапазонов времени в одном Schedules?

Просьба пояснить подробнее.

Согласен, можно без алиаса, если подсети в одном из 3-х классов

10.0.0.0 — 10.255.255.255 172.16.0.0 — 172.31.255.255 192.168.0.0 — 192.168.255.255

Лично у меня вышеупомянутый алиас появился когда настраивал Outbound NAT, без него закладка смотрелась жутко.

@Vetal78a:

начинает работать только при отключенном DNS Resolver и DNS forwarder, тогда можно вводить в домен ПК

У меня отключать эти службы нет необходимости, работает вместе с ними. Ведь если на ПК, которые вводишь в домен прописан DNS удаленного котроллера домена (и не прописаны другие), то ПК его и использует, и не использует pfSense в качестве DNS, и включение/отключение DNS Resolver и DNS forwarder не влияет.

@zhhh:

ради чего все это делается?

Для себя, чтобы знать.
Спасибо. Так намного проще.

Еще вопросик. Фаервол ответы на запросы не обрабатывает? Только сами запросы фильтрует?

Спасибо, попробую.

Да, согласен, здесь об этом не стоит писать. Сейчас напишу вличку, кажется я нашел как написать … )

Пролема крылась в записях DNS на стороне нашего провайдера. DNS гугла например, выдал другой адрес и всё заработало.

@werter:

https://ru.wikipedia.org/wiki/Sed
https://ru.wikipedia.org/wiki/Grep

Вопрос: где брать данную зсылку
Quote
/usr/bin/grep -e sihp1020.dl

Это не ссылка - это команда.

Спасибо за дополнения.

как бы у меня еще есть вопросов для коррекции данного конфига:

Как правильно прописать для Samsung ML-2010 (попрошу поправить если чтото не правильно)

/usr/bin/grep -e sihp1020.dl

на Samsung ML-2010

/usr/bin/grep -e sisp2010.dl

cat /usr/local/share/foo2zjs/firmware/sihp1020.dl

на

cat /usr/local/share/foo2zjs/firmware/sisp2010.dl

и как узнать для моего принтера:

/dev/ulpt0

а то в моей папке /dev данного файла нет.

п.с. Подскажите если я не в том направление копаю.

В обычном "главном" правиле стоит none, а в дочернем тоже должно стоять none?

Везде none. Для адресов UA-IX будет одна связка вх\вых, для всех остальных - другая.

Лимитер работает при использовании сквида?

При наличие оного - перехватывает все, что идет на 80 (443)\TCP во вне и сам решает кому и сколько.
На все остальные TCP\UDP лимитер распространяется.

В чём будут отличаться правила в флоатинг рулз? Там какие-то особые нюансы в настройке?

Уже писал об этом.

Пробуйте, эксперементируйте. Только так.

P.s. Рекомендую проштудировать теорию.

@Bobbe:

@werter:

http://habrahabr.ru/post/140340/

Человек пишет, что его роутер с AR9220 не поддерживает VLAN 802.1Q (?)

Поищите datasheet на AR9220 для уточнения это момента.

P.s. http://www.datasheet-pdf.com/datasheet-html/A/R/9/AR9220_Atheros.pdf.html  Про VLAN 802.1Q - ни слова  :(

P.s2. Если можно вместо gw-1 поставить pfsense, то в кач-ве wi-fi рекомендую asus rt-n12c1\d1\vp, rt-n15u или что-то похожее на broadcom-e в связке с TomatoUSB (http://tomato.groov.pl/?page_id=31, http://tomato.groov.pl/?page_id=69). Будет Вам и VLAN и оч. много чего другого. У самого asus rt-15u трудится с рабочей и гостевой сетями скоро год как.

Вопрос в том, должен ли вообще ath0 поддерживать VLAN? Ведь с конкретным vlan я объединяю конкретный wlan мостом.
Другими словами - точка доступа должна поддерживать MulitSSID, что AR9220 и делает.

Верно. Однако, Вы правы. Вэ-ланится же eth-интерфейс, а затем к нему "привязывается" wlan (!)

А что в логах pf при поднятии 2-го wlan-моста\падении первого?

P.s. Решение влоб - приобрести usb-свисток и на его основе создать гостевую сеть. Это на крайний случай.

Проблему решил. Оказалось все банально просто. Роутер провайдера перезагрузился и поставил ip-адрес назначения DMZ совсем другой, а не мой шлюз. Поэтому все приходящие пакеты шли на другой комп. Совсем забыл про этот роутер.
Всем спасибо. Тема закрыта

wan2: 95.25.2.49 /28

Второго провайдера просмотрел ;)

Подтверждаю. Имеется два pfSense. После обновления, один из них (у него установлен squid) начал ругаться на скрипт php. Правила на бан исчезли. Второй, также со squid функционирует нормально. IPsec был только на рухнувшем.
Вылечилось откатом на предыдущую версию.

Как вариант :

https://ghostadmin666.wordpress.com/2013/04/12/pfsense-и-remote-syslog- server/
http://skear.hubpages.com/hub/Remotely-Viewing-pfSense-System-Logs-Using-Kiwi-Syslog-Server

Можно, наверное, и к Zabbix\Nagios прикрутить.

@skyter:

Ясно. Спасибо за помощь

Рекомендую OpenVPN. Очень гибкое решение.

Спасибо, что отписались о решении.

Suricata

http://pfsensesetup.com/tag/suricata/

Вообще установка антиспам фильтра на фаерволе противоречит здравому смыслу.

С другой стороны мы не знаем чем руководствуется TC, задавая такой вопрос. Однажды я видел антиспам работающий на 3-х серверах, соответственно на фаерволе стоял балансировщик нагрузки, а обработанная почта отправлялась на четвёртый, основной сервер. Комбинация отбрасывала >10 гигабайт в сутки, впрочем у конечных пользователей всё равно получалось >80% спама.