System -> Advanced -> Miscellaneous -> Console menu -> Password protect the console menu

А теперь – внимание! -- (более) правильный(е) ответ(ы)! :)

Моновалловские доки (AccessingModemOutsideFirewall) дают два варианта, оба через правку CONFIG.XML, и здесь на форуме (Starting daemons without writing a package) ещё один, "классический", через /usr/local/etc/rc.d/*.sh

Итого набегает:
1. Правка config.xml, добавление wan-карте alias ip и out-nat командами в <system><shellcmd>…
2. Правка config.xml, создание на wan-карте opt-interface, дальше стандартным путём
3. /usr/local/etc/rc.d/*.sh

Первые два -- бекапятся и восстанавливаются вместе с конфигом, третий -- всё только ручками, но, похоже, выполняется позже, чем команды конфига (не проверял, но сообщение о выполнении содержимого этого каталога выводится в консоль предпоследней строкой перед запуском меню).

Попробовал трюк с фальшивым ифейсом -- wan(pppoe) и modem (c.c.1.0/24) на одной карте -- после восстановления, редактирования и сохранения первого подвернувшегося правила и ещё одной перезагрузки есть и инет, и вёб-морда модема.</shellcmd></system>

Ïðèìåðíî òàêàÿ æå ñõåìà ðàáîòàåò. Ïðîâåðåíî.
Ðàçíèöà 1-ÿ : è System1 è System2 = PFSENSE.
Ðàçíèöà 2-ÿ : HAVP+Squid+LightSquid íà System1 ïðèìåíèòåëüíî ê òâîåé ñõåìå
(÷òîáû havp-clamav ðàáîòàë íà ãðàíèöå…)
Îïÿòü-òàêè ïðèìåðíî :
Õîñòû 10.x.x.1 - 10.x.x.253 â ÷àñòíîé ñåòè1 , gateway äëÿ íèõ 10.x.x.254 (ýòî LAN-IP òâîåé System2)
Õîñòû 172.16.x.1 - 172.16.x.252 â ÷àñòíîé ñåòè2 , gateway 172.16.x.254 (ýòî LAN-IP òâîåé System1)
IP-àäðåñ 172.16.x.253 ïóñòü áóäåò WAN-IP äëÿ System2 , gateway 172.16.x.254
Äàëüøå "ïðîáèâàé" äîðîæêó (âêëþ÷è ÂÐÅÌÅÍÍÎ logging äëÿ âñåõ rules è óâèäèøü ãäå íå ïðîõîäÿò...)
ÂÀÆÍÎ : ïî óìîë÷àíèþ äëÿ WAN-èíòåðôåéñà PFSENSE áëîêèðóåò âñ¸, ïîýòîìó îñîáîå âíèìàíèå
íà rules äëÿ WAN-èíòåðôåéñà System2... è âîîáùå âñåãäà WAN-èíòåðôåéñó îñîáîå è åù¸ ðàç...

@zar0ku1:

даю наводку

php -v lighttpd -v mpd -v

продолжать?

это просмотр версий этих пакетов…
мне интересно какие пакеты там вообще стоят...

Еще один материал к вопросу о Wi-Fi, может кому будет интересно, в статье описывается как на pfSense поднять FreeRadius Server для аутентификаци беспроводных клиентов по логину и паролю по протоколу EAP-PEAP с проверкой сертификата сервера.

http://bruteforcer.ru/index.php/2009/11/18/ustanovka-i-nastrojka-freeradius-server-v-pfsense/

@izuware:

ftp извне не работает если маршрут к клиенту не по умолчанию. проверено личной головной болью на 1.2 .
офф: чтото данный маршрутизатор слишком часто требует отдельной специальной настройки :( неспешно ищу менее нежный дистрибутив для маршрутизатора

Если про pfSense, то это не маршрутизатор. Найдёшь - поделись пожалуйста. Хочется нежности в наши суровые времена -)

@storma:

~Настройка Squid: как пустить ftp и https (ssl) трафик мимо proxy.

С подобной проблемой разбирался при установке Банк-Клиента. В моём случае порт-маппинг не прокатил. Проблему решил поднятием PPPoE сервера.

от вы суровые челябинские админы

"Mikrotik-2.9" – какбэ символизирует :) (т.е. широко известный ломаный релиз :))
Соответственно -- старый, иногда подглюкивает, при этом без обнов, в т.ч. нужных, и багфиксов, в т.ч. очень нужных.
Кроме того -- закрытый, нерасширяемый (у народа вроде как есть метода установки своего софта на 3-ю ветку, но лом её по-прежнему неполный).
Наконец -- Линух, а в планах на будущее постепенный перевод сетки (и серверов и большинства станций) на Фрю.
И вообще -- нравится мне бесёнок :)

@Eugene:

Я бы присоветовал купить пацанам книжку про pfSense.

+1 =)

Отлично. Один клиент - один IP.

@Eugene:

знание, что там, не поможет, это просто парсинг.
После чего сломалось? конкретнее пожалуйста.

А после чего непонятно. Просто работала, перестал нормально показывать dashboard.
Попытка переустановить ни к чему не привела.
Долго разбираться смысла не было. Система переставлена и перенастроена.

Спасибо.

@Eugene:

Что такое ЛС и кто такой КО?

ЛС - личные сообщения, ЛК - личный кабинет, КО - Капитан Очевидность
с уважением, ваш КО ;)

@ToXaNSK:

@dvserg:

FTP - это копать в сторону FTPHelper на интерфейсах.

FTPHelper есть только на WAN интерфейсе или я ошибаюсь.!?

Ошибаешься.
tcpdumpить нужно, чтобы понять в чём проблема.

Развивать OpenSource говорите… гляньте на это с другой стороны: заработают разработчики чуток денег на книге и авось не надо будет им развивать pfSense ночами после основной работы, когда жена и дети спят, а будут они бодренькие и свеженькие садиться за проект сутра, будучи уверенными, что у них звенит в кошельке и не надо искать контракты, где за реальную работу платят реальные деньги. Уверен, качество pfSense в этом случае значительно возросло бы.
На мой скромный взгляд любая работа должна оплачиваться. "Энтузиасты" получают эту плату в виде личного удовлетворения от того, что их продукт используют, им поют диферамбы, их все знают. Однако, реальные деньги от реальной работы никогда никому ещё не мешали.
Более того, я думаю pfSense уже достиг уровня, на котором далеко не самым большим плюсом является документация, хотя не спорю, наличие оной особенно для начинающих трудно переоценить.
... вот в таком аспекте.

@Eugene:

Я если честно за чтением предыдущего постулата застрял… так и не пойму - есть железка или нет?

Это же девушка, она сама еще не вкурсе

Главная проблема решена. Решилось все созданием правил на модемах, т.к. они тупые то запросы через дефолт гетвей (WAN) уходили в инет, а правило возращает пакеты на pf и дальше уже начинает работать 2 интерфейс OPT на котором создается такое же правило, таким образом в целом и заработал load balancing. Теперь возникает вопрос: возможно ли сделать и load balancing и failover на каналах? Просто я вынужден был включить функцию Use sticky connections, поэтому сейчас при отваливании 1 из каналов начинаются сбои с балансом и приходится переподключать функцию залипания чтобы сесии отлипли от одного канала и перебросились на другой канал… вобщем запутано как то получается все... есть мысли на этот счет?

ЗЫ Извиняюсь, но тема была залочена) только сейчас понял))

@Eugene:

Если у 1.142 собственный инет, а не через 1.141, то по мне так задумка правильная. Не работает?
А что мы получаем в pfctl -sr и в pfctl -sn после создания такого перенаправления?

Ребята, огромное спасибо, за проявленное внимание и помощь в разрешении моей проблемы.
Всё реализовал по способу, который описал Mailer.

zar0ku1 отвечает =))))))))))))

remote syslog тебе в помощь.