Разрешить на WAN tcp port 80 (или 443 если HTTPS).

@deutsche: Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера. А если нужно зайти не из дома? для этого давно придуман ноуайпи или динамик днс… то через дом есть тунель

А у меня одним ваучером прекрасно пользуются несколько человек, но меня как раз не устраивает такой подход, мне нужна привязка ваучера к конкретному MAC, чтобы при первой активации ваучера он привязывался только к этой машине, реализацию этого так и не нашел, или все еще "сыро" не работоспособно?

@j2b: Да, принцип тот-же. Только выходящий трафик быдет ходит по реальным ИП адресам, а не через ВИП. Возможно это (выходящий через ВИП) можно настроить с роутингом, но не пробовал. Выходить будет, как сконфигурируешь. CARP-схема работает с любым количеством OPT-интерфейсов и любым количеством виртуальных IP на них. Очень рекомендую следовать вот этой ссылке:http://www.pfsense.org/mirror.php?section=tutorials/carp/carp-cluster-new.htm при конфигурировании. Далее детально разобраться, как это работает, потом добавлять OPT-интерфейсы, как душа пожелает.

@Fisco: Требуется установить и настроить необходимые пакеты PF для работы в качестве шлюза, маршрутизатора, DHCP-сервера, прокси-сервера с антивирусом, VPN-сервера с резервным переключением каналов . Требования: Профессионально Разумно Оперативно Оплата по договоренности после согласования ТЗ. За ТЗ обращаться в личку. Я могу помочь. Присылай ТЗ.

Все.. не заметил в мануале, что для ESXi нужно: http://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP) VMware ESX Users Enable promiscuous mode on the vSwitch Enable "MAC Address changes" Enable "Forged transmits"

@tva: Доброго всем времени суток. Поставил я pfSense 1.2.3-RELEASE  сижу настраиваю и сразу есть вопросы: 1. как сделать чтобы пинговались внешние адреса ? правило ICMP  LAN net  *  *  *  *  несработало, ICMP type eho и eho reply тоже не спасло 2. а алиасах я указал набор стандартных портов по которым работает обычный офис - 53,80,443,25,110 и тд. как использовать этот алиас при конфигурировании правил фаервола, дабы не указывать каждый сервис? А если нельзя, то где и как эти алиасы используются ? при конфигуриваронии файрволла вписывает вместо портов название алиаса и все. по пингам разобрался, а вот по второму вопросу поточнее можно. ну указал я в полe Destination port, тип other а дальше что, порты алиаса называются Of_service их я ни где не вижу. когда впишиите на правиле видно будет какие порты разрешены..

Дубль

Оба варианта помогло…., спасиб...

Спасибо огромное

@bortmex: как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать? Думал pfsense получает mac компа и смотрит его в своем списке mac-адресов. Если такой мак есть,и текущий ip компа соотвествует ip из таблицы, то комп имеет доступ к сети. New in pfSense 2.0 is the L2TP (Layer 2 Tunneling Protocol) VPN type, which will allow L2TP VPN clients to connect remotely. It can be found under VPN > L2TP. Так понял надо обновиться до версии 2.0

@Focusnik: PING 10.1.121.1 (10.1.121.1) from 10.1.121.138: 56 data bytes 36 bytes from 10.1.121.1: Communication prohibited by filter Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst 4  5  00 5400 1257   0 0000  3f  01 62c5 10.1.121.138  10.1.121.1 Это откуда пинг запускается?

Evgeny, это понятно, что можно использовать route add -net x.x.x.x/y z.z.z.z Но все же хотелось, что бы уже вбитые в гуи маршруты были задействованы, может есть такой набор команд?

http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-pf.conf-tables+pfctl

Нужно создать файл /etc/rc.conf.local где и прописать эти переменные. При перезагрузке отработает скрипт /etc/rc.d/syscons и все настройки будут учтены.

@deutsche: есть кстати такой финт (для многоих очевидный, но все же). Ставим консольный браузер и меняем настройки. pkg_add -r lynx lynx lan ip нужно интернет подключение конечно Инет к сожелению через ВПН

1 sec ~ 18.2 tick думаю тему можно закрывать.

Проблема оказалась в сдохшей материнке роутера, виновато железо все же. Буду менять.