У меня получилось

[2.0-BETA5][root@superpuperhome.net]/root(3): ifconfig ath0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 2290        ether 00:11:        media: IEEE 802.11 Wireless Ethernet autoselect mode 11b <hostap>status: running xl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500        options=80009 <rxcsum,vlan_mtu,linkstate>ether 00:04:        inet 10.11.36.1 netmask 0xffffff00 broadcast 10.11.36.255        inet6 fe80::204:%xl0 prefixlen 64 scopeid 0x2        nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)        status: active xl1: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500        options=80008 <vlan_mtu,linkstate>ether 00:04:        inet6 fe80::204:d%xl1 prefixlen 64 scopeid 0x3        nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)        status: active xl2: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500        options=80008 <vlan_mtu,linkstate>ether 00:04:        inet6 fe80::204:%xl2 prefixlen 64 scopeid 0x4        nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)        status: active xl3: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500        options=80008 <vlan_mtu,linkstate>ether 00:10:        inet6 fe80::210:%xl3 prefixlen 64 scopeid 0x5        nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)        status: active plip0: flags=8810 <pointopoint,simplex,multicast>metric 0 mtu 1500 lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384        options=3 <rxcsum,txcsum>inet 127.0.0.1 netmask 0xff000000        inet6 ::1 prefixlen 128        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7        nd6 options=3 <performnud,accept_rtadv>pflog0: flags=100 <promisc>metric 0 mtu 33128 pfsync0: flags=0<> metric 0 mtu 1460        syncpeer: 224.0.0.240 maxupd: 128 enc0: flags=0<> metric 0 mtu 1536 ath0_wlan0: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500        ether 00:11:        inet6 fe80::211:%ath0_wlan0 prefixlen 64 scopeid 0xb        nd6 options=3 <performnud,accept_rtadv>media: IEEE 802.11 Wireless Ethernet autoselect mode 11b <hostap>status: running        ssid AbsoluteBSD channel 1 (2412 MHz 11b) bssid 00:11:95:ca:ae:f5        regdomain NONE country RU indoor ecm authmode WPA2/802.11i        privacy MIXED deftxkey 3 TKIP 2:128-bit TKIP 3:128-bit txpower 30        scanvalid 60 burst -apbridge dtimperiod 1 -dfs bridge0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500        ether fa:2d:        inet 192.168.255.1 netmask 0xfffffff0 broadcast 192.168.255.15        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15        maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0        member: ath0_wlan0 flags=143 <learning,discover,autoedge,autoptp>ifmaxaddr 0 port 11 priority 128 path cost 370370        member: xl3 flags=143 <learning,discover,autoedge,autoptp>ifmaxaddr 0 port 5 priority 128 path cost 200000        member: xl2 flags=143 <learning,discover,autoedge,autoptp>ifmaxaddr 0 port 4 priority 128 path cost 200000        member: xl1 flags=143 <learning,discover,autoedge,autoptp>ifmaxaddr 0 port 3 priority 128 path cost 200000 [2.0-BETA5][root@superuperhome.net]/root(4):</learning,discover,autoedge,autoptp></learning,discover,autoedge,autoptp></learning,discover,autoedge,autoptp></learning,discover,autoedge,autoptp></up,broadcast,running,simplex,multicast></hostap></performnud,accept_rtadv></up,broadcast,running,promisc,simplex,multicast></promisc></performnud,accept_rtadv></rxcsum,txcsum></up,loopback,running,multicast></pointopoint,simplex,multicast></full-duplex></performnud,accept_rtadv></vlan_mtu,linkstate></up,broadcast,running,promisc,simplex,multicast></full-duplex></performnud,accept_rtadv></vlan_mtu,linkstate></up,broadcast,running,promisc,simplex,multicast></full-duplex></performnud,accept_rtadv></vlan_mtu,linkstate></up,broadcast,running,promisc,simplex,multicast></full-duplex></performnud,accept_rtadv></rxcsum,vlan_mtu,linkstate></up,broadcast,running,simplex,multicast></hostap></up,broadcast,running,simplex,multicast>

Теперь задача прикрутить igmpproxy… какие могут быть подводные камни при такой конфигурации в домашней сети???

@dvserg:

@alexandrnew:

а какие правила при прозрачном прокси должны создаваться в файрволле? их можно увидеть с помощью pfctl?

/tmp/rules.debug
Правило вида
rdr on $iface proto tcp from any to !($iface) port 80 -> 127.0.0.1 port 80

во 2м пфсенсе - после ребута правила нету, и рокси не пашет (прозрачній) приходится снимать галочку прозрачного прокси, ставить - появляется, лечить как здесь:
http://forum.pfsense.org/index.php/topic,32661.0.html  ?

я так понял что в  /tmp/rules.debugвсе текущие правила? если добавить с консоли - тоже туда поместятся?

блин как все просто  ;D

спс всем

Может у терминалки стоит ограничение по подключениям с одного ИП??? У меня на один порт 5 клиентов садаться с 1 ИП.

насколько я понял, можно переделать скрипты, например отсюда _http://www.sysint.dp.ua/2010/03/03/ssh_auto_block/
добавить нужные правила, со списком разрешенных доменов, и по крону обновлять таблицу в pf, соответственно днс имена будут разолвится и заноситься ипами в пф…

интересно :)
спасибо!
есть вопрос - а файрволл для ipv6 в пфсенсе есть?

@Fre@k:

@dvserg:

@Fre@k:

Тоесть все три карточки должны быть в разных подсетях?

Кроме режима бридж(мост).

Если я прикручу к WANу OPT1 через мост, то я смогу там также выставить айпиху и на нее прикрутитть  PPTP сервер?

Не пробовал c OPT. У меня PPTP сервер работет на LAN интерфейсе сбридженном с WAN.
Только приготовься к 5 минутному ауту, пока сбридженные интерфейсы не разберуться куда-что слать (есс-ноо в один свитч не вставлять).

спасибо

@dvserg:

@zero_kz:

и еще вопрос , можно ли шейпить ( резать траффик по расписанию временному) ?

В 2.0 шейпер вешается на правила файрвола, там-же есть шедулер.

Спасибо значит в 1.2.3 незя… учту...

@Evgeny:

Три внешних IP-адреса на три внутренних IP-адреса - не проблема путём трёх правил НАТ без всяких HTTP-proxy

На все три адреса могут прийти запросы разных сайтов, поэтому надо разделение по имени запрашиваемого сайта

Firewall - Rules.
Source - IP лишенца.

Ну зачем же так трудно.Сам отвечаю на свой вопрос.
Используем tcpdump -i <interface>host xxx
Спасибо Evgeny.

Так же дописал под свои нужды и получилось
tcpdump -i <interface>host xxx and portrange XXXX-XXXX or XXXX-XXXX.
Может быть кому пригодиться.</interface></interface>

ставить бинд не хочется, не думаю что dnsmasq не справится с сотней-двумя перенаправлений…

кстати порты открывать не нужно т.к по дефолту поддерживает UPnP

pfflowd

Сенсор для OpenBSD, использующий для сбора потоков pfsync. Умеет экспортировать Netflow версий v1/v5. Из плюсов - скорость работы. Из недостатков - не держит потоки более 4G, не считаются заблокированные пакеты и пакеты, сгенерированные ОС типа TCP RSTs, ICMP unreachables и TCP handshakes. О SNMP-индексах можно забыть. Для общего анализа самое оно - на выходе как раз усредненный результат.

http://www.softpi.com.ua/ru/flansys/167-what-is-netflow.html

Спасибо за инфу!

@Evgeny:

И на wiki запостил бы тогда уж.

Точно, и туда тоже нужно.