Эрик Реймонд уже написал
http://citforum.ru/howto/smart-questions-ru.shtml

Видимо имеет большой опыт в этом ;p

Как то странно. У меня общедоступпными с интернета являются сервисы www, ssh, ftp и webmin. Они все не хотят работать из локаьной сети. Что они все не настроены?! :-X. Вот в это я поверить не могу. Так как webmin, ему вообще пофигу откуда подключаются.

пожалуйста:

какая подсеть на LAN какие подсети на WAN'ах
3)```
pfctl -sr

Вот немного по теме

http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Для того, чтобы WPAD работал, должны быть выполнены следующие условия:
При использовании DHCP необходимо, чтобы сервер предоставлял «site-local» опцию 252 («auto-proxy-config») со строковым значением вида «http://xxx.yyy.zzz.qqq/wpad.dat» (без кавычек, конечно), где xxx.yyy.zzz.qqq — адрес веб-сервера(в любом виде:IP или DNS).
При использовании DNS необходима запись об имени хоста WPAD.

http://www.freeproxy.ru/ru/free_proxy/faq/wpad.htm
Как работает WPAD?

Если у вас включена настройка "автоматическое определение настроек", то при подключении к Internet браузер попытается найти сервер wpad.<имя-вашего-домена>. Если оно не обнаружено, то браузер будет добавлять "wpad" ко всем именам доменов уровнем выше (вплоть до 3-го уровня). Например, если клиент находится в домене a.b.microsoft.com, то Internet Explorer будет искать сервера:
wpad.a.b.microsoft.com
wpad.b.microsoft.com
wpad.microsoft.com
Если один из серверов найден, то браузер в корневом каталоге будет пытаться обнаружить файл wpad.dat . Если этот файл существует, то он будет использован в качестве скрипта при подключении к Internet (PAC-файл).

@dr.gopher:

@Mr.Aloof:

Для "юзабилити" самого pfSense достаточно руского Captive Portal и репортов по трафику (если это используется)

Руского-Украинский Captive Portal нужен!

http://forum.pfsense.org/index.php/topic,29512.15.html

Вот думаю - неужели разработчики переработали столько кода для возможности локализации, чтобы потом поиметь гемор с каждой страницей? Должен быть простой ключ, делающий то-же что и описанные выше команды. Пока надумал порыться в настройках phpini.
Еще варианты будут?

Продолжение темы http://forum.pfsense.org/index.php/topic,37437.0.html

@deutsche:

ipcad разве считает трафик по сквиду?

Имеется ввиду, что из ipcad скриптом закидывают инфу в логи squid, а отчеты строят уже по логам squid ;-)

http://forum.pfsense.org/index.php/topic,30757.0.html

@dvserg:

Выложите правила PortForward, правила Rules для WAN и LAN.
Проверьте, что pfSense прописан на указанных серверах шлюзом.
Попробуйте перенести порт Web-интерфейса PFSense на 88 порт.

Так-же интересно вот это "192.168.2.2 - WebServer на нем несколько доменов".
Каким образом внешний пользователь будет различать эти домены?
По IP все понятно, подключаемся на WAN:80 - мапимся на 192.168.2.2:80

;D
Вот спАААсибо!!!
Я ж про шлюз то забыл!!! На 192.168.2.2 не поменял)))
А по поводу нескольких доменов - там же апач ими рулит. Обычный веб сервер.
Спасибо всем за поддержку. Курю мануал дальше.
Проблема решена :)

@deutsche:

Так наше начальстов не увидит кавардак в сети, а вот кавардак видимый еще как. Сделать все красиво не умеем.

Off: В моем случае это только если я слишком много "бычков" в серверной по полу раскидаю)) Барьба с курением идет. Типа, кто кого заборет. Как там провода висят и где какие лампочки мигают - никто старается на вдаваться от греха. Для себя только стараюсь)) Все подвязано и прострочено. Иначе это оскорбляло бы мое эстетическое чувство, а я так не могу((

канечна!

Решено!!!! )))
System->Static routes->Add
Там указал подсеть (пока LAN3) и Gateway с FreeBSD :)
Всё работает! Всем огромное спасибо! :)

@sashasmr:

в том-то и дело родительский untag, мне нужно создать виртуальный интерфейс еще один

Зачем? Цель конечная?

problem was snort issue,while downloading openssl part of squid snort was blocking download.

1   1   TCP   GPL SHELLCODE x86 inc ebx NOOP    Executable code was detected   66.111.2.166   80   ->   xxx.xxx.xxx.xxx   6524   1:1390:5   12/01-11:36:2

i put 66.111.2.166 (packege repo) snort white list,problem resolved.

Заметил такую "шляпу".
Если Дир130 с работающим IPSec-тоннелем не на долгое (или на долгое) время обесточить или перезагрузить. Туннель перестает работать.
Это выглядит так - горит зеленая стрелка в "status/ipsec", но я не могу пинговаться ни туды ни сюды! Тоннель мертв.
Если я делаю рестарт raccon, то становится всё окей.

Хочу, чтобы cron рестартовал автоматически службу raccon, если ipsec тоннель мертв.
Подскажите, как это сделаьт?

@Evgeny:

а что внутри ping_hosts.sh ?

#!/bin/sh # pfSense ping helper # written by Scott Ullrich # (C)2006 Scott Ullrich # All rights reserved. # Format of file should be deliminted by | #  Field 1:  Source ip #  Field 2:  Destination ip #  Field 3:  Ping count #  Field 4:  Script to run when service is down #  Field 5:  Script to run once service is restored #  Field 6:  Ping time threshold #  Field 7:  Wan ping time threshold # Read in ipsec ping hosts and check the CARP status if [ -f /var/db/ipsecpinghosts ]; then IPSECHOSTS="/var/db/ipsecpinghosts" CURRENTIPSECHOSTS="/var/db/currentipsecpinghosts" IFVPNSTATE=`ifconfig $IFVPN | grep "carp: BACKUP vhid" | wc -l` if [ $IFVPNSTATE -gt 1 ]; then echo -e "CARP interface in BACKUP (not pinging ipsec hosts)" rm -f $CURRENTIPSECHOSTS touch $CURRENTIPSECHOSTS else echo -e "CARP interface is MASTER or non CARP (pinging ipsec hosts)" cat < $IPSECHOSTS > $CURRENTIPSECHOSTS fi fi # General file meant for user consumption if [ -f /var/db/hosts ]; then HOSTS="/var/db/hosts" fi # Package specific ping requests if [ -f /var/db/pkgpinghosts ]; then PKGHOSTS="/var/db/pkgpinghosts" fi cat $PKGHOSTS $HOSTS $IPSECHOSTS >/tmp/tmpHOSTS if [ ! -d /var/db/pingstatus ]; then /bin/mkdir -p /var/db/pingstatus fi if [ ! -d /var/db/pingmsstatus ]; then /bin/mkdir -p /var/db/pingmsstatus fi PINGHOSTS=`cat /tmp/tmpHOSTS` PINGHOSTCOUNT=`cat /tmp/tmpHOSTS | wc -l` if [ "$PINGHOSTCOUNT" -lt "1" ]; then exit fi for TOPING in $PINGHOSTS ; do echo "PROCESSING $TOPING" SRCIP=`echo $TOPING | cut -d"|" -f1` DSTIP=`echo $TOPING | cut -d"|" -f2` COUNT=`echo $TOPING | cut -d"|" -f3` FAILURESCRIPT=`echo $TOPING | cut -d"|" -f4` SERVICERESTOREDSCRIPT=`echo $TOPING | cut -d"|" -f5` THRESHOLD=`echo $TOPING | cut -d"|" -f6` WANTHRESHOLD=`echo $TOPING | cut -d"|" -f7` echo Processing $DSTIP # Look for a service being down ping -c $COUNT -S $SRCIP $DSTIP if [ $? -eq 0 ]; then # Host is up # Read in previous status PREVIOUSSTATUS=`cat /var/db/pingstatus/$DSTIP` if [ "$PREVIOUSSTATUS" = "DOWN" ]; then # Service restored if [ "$SERVICERESTOREDSCRIPT" != "" ]; then echo "UP" > /var/db/pingstatus/$DSTIP echo "$DSTIP is UP, previous state was DOWN .. Running $SERVICERESTOREDSCRIPT" echo "$DSTIP is UP, previous state was DOWN .. Running $SERVICERESTOREDSCRIPT" | logger -p daemon.info -i -t PingMonitor sh -c $SERVICERESTOREDSCRIPT fi fi echo "UP" > /var/db/pingstatus/$DSTIP else # Host is down PREVIOUSSTATUS=`cat /var/db/pingstatus/$DSTIP` if [ "$PREVIOUSSTATUS" = "UP" ]; then # Service is down if [ "$FAILURESCRIPT" != "" ]; then echo "DOWN" > /var/db/pingstatus/$DSTIP echo "$DSTIP is DOWN, previous state was UP ..  Running $FAILURESCRIPT" echo "$DSTIP is DOWN, previous state was UP ..  Running $FAILURESCRIPT" | logger -p daemon.info -i -t PingMonitor sh -c $FAILURESCRIPT fi fi echo "DOWN" > /var/db/pingstatus/$DSTIP fi echo "Checking ping time $DSTIP" # Look at ping values themselves PINGTIME=`ping -c 1 -S $SRCIP $DSTIP | awk '{ print $7 }' | grep time | cut -d "=" -f2` echo "Ping returned $?" echo $PINGTIME > /var/db/pingmsstatus/$DSTIP if [ "$THRESHOLD" != "" ]; then if [ "$PINGTIME" -gt "$THRESHOLD" ]; then echo "$DSTIP has exceeded ping threshold $PINGTIME / $THRESHOLD .. Running $FAILURESCRIPT" echo "$DSTIP has exceeded ping threshold $PINGTIME / $THRESHOLD .. Running $FAILURESCRIPT" | logger -p daemon.info -i -t PingMonitor sh -c $FAILURESCRIPT fi fi # Wan ping time threshold WANTIME=`rrdtool fetch /var/db/rrd/wan-quality.rrd AVERAGE -r 120 -s -1min -e -1min | grep ":" | cut -f3 -d" " | cut -d"e" -f1` echo "Checking wan ping time $WANTIME" echo $WANTIME > /var/db/wanaverage if [ "$WANTHRESHOLD" != "" ]; then if [ "$WANTIME" -gt "$WANTHRESHOLD" ]; then echo "$DSTIP has exceeded wan ping threshold $WANTIME / $WANTHRESHOLD .. Running $FAILURESCRIPT" echo "$DSTIP has exceeded wan ping threshold $WANTIME / $WANTHRESHOLD .. Running $FAILURESCRIPT" | logger -p daemon.info -i -t PingMonitor sh -c $FAILURESCRIPT fi fi sleep 1 done exit 0

@sashasmr:

а где именно это прописывается?

virtual ips

конкретено в pfsense создается правило для прозрачного прокси  80->3128. Оно не показывается.

@MasterMad:

@Evgeny:

я так и не понял - после отключения шейпера всё нормально работает или нет?

Да, после отключения шейпера все в норму возврашалось.

Ну значит нашэйпил что-то не то -) здесь и копать.

@Tamriel:

у меня реалтек нормально определился :)
правда отдельной картой :)
Если денег не жалко и на матери есть PCi  то не пожелей 6,5 $

В том-то и проблема, что у меня плата Asus ITX-220 и там только 1 слот PCi в котором уже есть сетевая, а надо 2(wan и lan), а с usb сетевушками такие же проблемы или нет?