Правила стандартные-все выпускать. По портам я написал, но пока отключил.
Кстати, такая проблема не только у меня. У многих на этом форуме (англоязычная ветка) после установки этой галки начинаются всякие чудеса.
На нижнем скриншоте-ошибка из браузера.

Error.JPG
Error.JPG_thumb
RulesLAN.JPG_thumb
RulesLAN.JPG

но я так и не понял, что это за раздел Float
в чем специфика?

Т.н. "плавающие правила", к-ый применяются ранее правил на конкретных интерфейсах (LAN, WAN, OPT etc.)

https://doc.pfsense.org/index.php/What_are_Floating_Rules :

What are Floating Rules

Floating rules are advanced Firewall Rules which can apply in any direction to any (or multiple) interfaces. Some more advanced/low-level options are available on Floating Rules than exist for the normal per-interface rules.

Using Floating Rules you can control/restrict traffic from the firewall itself, you can have rules which apply to multiple interfaces in the same way, you can have traffic shaping rules which match traffic but do not affect it's pass/block action, and much more.

Many firewalls do not need any floating rules, or may only have them for the traffic shaper. For those choosing to use them, they can make some complex filtering scenarios easier, at the cost of being a little harder to follow logically in the GUI.

Floating rules are parsed before rules on other interfaces. Thus, if a packet matches a floating rule and the Quick option is active on that rule, pfsense will not attempt to filter that packet against any rule on any other interface.

Rules using the Queue action do not work with 'quick' checked.

нет-нет, я посмотрел (вероятно, нерусский мой настолько плох, что так и не увидел). но, возможно, вы имеете в виду "Do not forward private reverse lookups" в настройках Services: DNS forwarder, то  dns forward  у меня отключен полностью.
В основном описывается как настроить dns для внутренней сети и dns forward, а мне нужно настроить внешний dns сервер, т.е хостинг собственной зоны.

@dvserg:

Я пока не могу ничего сказать, так как не понятно что происходит на "Juniper SRX-роутер". У Вас на схеме нарисовано соединение координатор-SRX, там отдельная подсеть или что? Если SRX работает в режиме роутера, то должны быть какие-то IP адреса на этом участке.

Я, если честно, тоже не очень понимаю что происходит на том участке. Сегодня ковырял Juniper SRX: сделал себе доступ по ssh и из веб-морды. Все порты там были сконфигурированы как family ethernet-switching {vlan {…}} и на этот vlan назначено 2 ip: один 10.140.5.200, второй 192.168.1.1. При этом с Juniper-а шлюз 10.х.х.1 (vipnet который) не пингуется... Завтра буду ковырять на предмет роутинга между этим vlan-ом и тем портом, что я сделал себе для доступа по ssh

@ Nimnull
Вы лучше четко опишите чего хотите достичь своими запретами. А коллективный разум поможет  ;D

конечно апач.
Я имел ввиду, что например тот же элементарный top проблему по программе не показывал. Апач потребляет свои 0,02% - а сервер при этом даже толком не пингвинится….. Так то да: нет апача - нет проблемы.
PS: машины были не мои )))))

В настройках Interfaces- WAN внизу я убрал галки Block private networks и Block bogon networks и все заработало)

А Virtual LAN (да еще и с адресацией как у LAN ) Вам зачем? Изолировать хотите от LAN ?

Схему сети надо.

с лайф usb погоняй тесты харда, памяти и тд. 100% что-то неисправно. возможно одна из сетевух померает  :D

Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed

https://forum.pfsense.org/index.php?topic=43471.0

Создайте алиас из номеров портов необходимых именно вам. Затем поместите правило выше общего.
Не думаю, что вам необходима сотня портов-исключений.

P.s. Как вариант, использовать для p2p порты с 10000 по 65535 TCP\UDP.

После мытарств с pfSense понял, что нужной мне гибкости Squid я на этой платформе не получу (больше сил уйдёт на борьбу с авто-генерируемыми конфигами). Перебрался на Linux и настроил всё как мне надо.
Если интересно, полное пошаговое описание из 10 частей настройки опубликовал в блоге.
Ссылка на первую часть:
http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-1-install-os-on-hyper-v-generation-2-vm/

Неплохо бы и знать марку свича, может STP прилетает, свичи не могут договорится и ложится определенный vlan? если порт смотри ошибки на порту, не которые свичи рубят порт обозначая его тем самым проблемным.

@Ivan_T:

Всвязи с этим раздаю всем доступ по OpenVPN (OpenVPN with TLS and User Authentication) отдельное VPN для каждого сотрудника
Сотрудники конектятся по VPN затем запускают mstsc вводят адрес компьютера и работают.

ИМХО

Возможно проще было бы сделать каждому по портфорварду вида

WAN-IP:25002  =>  192.168.0.2:3389
WAN-IP:25003  =>  192.168.0.3:3389
WAN-IP:25004  =>  192.168.0.4:3389

Раздать юзверям IP + его порт.

не пингует без него.

Тему можно закрывать, не дружит текущий релиз с некоторыми старыми SSD. Возможно, некорректно отрабатывает TRIM. С обычным хардом всё в норме.

Шутите? Разве во FreeBSD 8.3 есть поддержка TRIM?  Только начиная с 9-ки появилась.

P.s. Хоть бы в Гугл глянули.

В Untangle вроде еще было, но это совершенно отдельный продукт.

@D_Sergeevich:

@dvserg:

@D_Sergeevich:

@dvserg:

Правила Transprent ловят только HTTP.
Переведите прокси в обычный режим
Запретите прямой доступ в интернет по HTTP/HTTPS
Настройте WPAD файл
Включите у всех пользователей автоконфигурацию прокси в браузерах

Так если я переведу прокси в обычный режим, компы которые должны ходить мимо прокси, они будут ходить?

Мимо прокси Вы сможете пропускать компы правилами файрвола + соотв настройкой WPAD.

А как настроить файрвол чтоб компы ходили мимо прокси при отключении Transprent ?

Протокол TCP
Разрешающее правило HTTP  для компьютера1 Src=ip1 port=any Dest=any port=80
Разрешающее правило HTTPs для компьютера1 Src=ip1 port=any Dest=any port=443
Разрешающее правило HTTP  для компьютера2 Src=ip2 port=any Dest=any port=80
Разрешающее правило HTTPs для компьютера2 Src=ip2 port=any Dest=any port=443
Разрешающее правило HTTP  для компьютера3 Src=ip3 port=any Dest=any port=80
Разрешающее правило HTTPs для компьютера3 Src=ip3 port=any Dest=any port=443
Запретить HTTP Src=any port=any Dest=any port=80
Запретить HTTPS Src=any port=any Dest=any port=443

Для сокращения количества правил можно использовать алиасы портов и IP адресов.

cp -r -f /mnt/data/* /mnt/data1/

У каждой команды есть мануал - гугл в помощь. И заканчивайте каждый шаг здесь комментировать - это не твиттер.