ни у кого никаких идей?

@aligar: В общем, проблема проясняется. При попытке проброса порта зависает. При использовании интерфейса PPTP - не виснет, однако порт не открывается. При использовании интерфейса WAN - умирает. а теперь подробно, а не сам с собой

И где скриншоты? уже проверил?

У меня была такая задача. Часть юзеров имеет полный доступ к инету, а часть имеет ограниченный доступ (2-3 сайта только лишь для работы). Вот как я это реализовал: 1. В Destinations создал 2 правила Blocked_site и allowed_site. В allowed_site заносим сайты которые могут быть разрешены (2-3 сайта для работы) В Blocked_site - те что нужно блокировать (для юзеров с полным доступом игры/порно/музыка/фильмы) 2. В  ACL создаю 2 парвила Blocked_site и allow_user. Для правила Blocked_site Поле Source IP adresses and domains заношу юзеров которым разрешен полный доступ к инету. В Destination ruleset:   [Blocked_site]        - deny /блокируем доступ к запрещенным сайтам   [allowed_site]        - allow /разрешаем доступ к разрешенным сайтам   Default access [all] - allow /разрешаем полный доступ к инету Для правила allow_user Source IP adresses and domains - вношу список адресов которым разрешен ограниченный инет В Destination ruleset:   [Blocked_site]        - deny /блокируем доступ к запрещенным сайтам   [allowed_site]        - allow /разрешаем доступ к разрешенным сайтам   Default access [all] - deny /блокируем полный доступ к инету Таким образом нужные пользователи могут ходить только на те сайты, которые я им разрешил. ЗЫ. Немного напутал с именами правил, но эт по неопытности  ;D

[image: b8dd51809355d05ba7b60ae5d3943e8f.jpg]

@djlexx: а как быть с компами с другой сети.допустим в основной конторе на PF заведена корпоративка-сеть.в другом месте(филиал) тоже подключена таже корпоративка.надо чтоб с филиала ходили в инет через основную контору.у меня это все работало уже год с копейками без нареканий. рисуй схему, будем думать

@zar0ku1: @Eugene: Похоже нет сертификата Привет Капитан очевидность :D В нашем сложном мире нельзя быть увереным ни в чём, что мне было недавно наглядно продемонстировано XYEBA'ом -)

@tamaki: @dvserg: 2. Не получиться, только ограничение скорости на каждого юзера (что тоже неплохо работает в плане ограничения) А есть какой-либо еще вариант? На основе pfsense(девелоп. версия, например с установкой дополнительного софта), либо других спец. дистрибутивов с интуитивно-понятным WebGUI? Потому, как ограничение потребляемого трафика, очень критично. Если хотите-поищите abills / netams (забыл как павильно). Тема уже была в русской ветке. Поиск по форуму хорошо работает.

Хорошо, что я не матерюсь.

DHT использует протокол UDP. deny udp from any to any =)

Не надо ната? - удаляй нат-правило смело! ломать - не строить. Поверь, ната не будет. Однако, это не DMZ, а извращение какое-то (на мой скромный взгляд).

Network diagram?

в правилах не нужно испльзовать gateway, надо ставить default.

@zar0ku1: теперь давай разбираться, что ж у тебя не отдает… какие ты ОИДы запрашиваешь, и что тебе отвечает? разобрался ) сделал так Target[gw]: 3:public@192.168.100.3

Красивые картинки. на pfSense, когда тоннель "зелёный" и постоянный пинг запущен tcpdump -ni <wan interface="" name="">host</wan>

Да, перед этим делом надо отдохнуть хорошенько, потрудиться придётся наславу. Сегодня сложно порно отфильтровать… -)

@Eugene: я бы не злоупотрелял any. На то он и firewall. Конечно  ;D ;D ;D

@alphil: это локалка куда подключен WAN port. Неплохо звучит. :)

@darchik: Всем привет! подскажите как организовать такую схему: Пфсенс с двумя ВАНами, на обоих стат.реальные адреса. к примеру ххх.ххх.ххх.ххх на котором висит почта, скажем МХ1 и ууу.ууу.ууу.ууу - МХ2. В локалке стоит Почтовик Коммунигейт ПРО с двумя доменами, которые МХ1 и МХ2. Как сделать так чтобы почта которая приходит через ИП МХ1 попадла на домен МХ1 и ответ уходил через него же. Соответственно для МХ2. Да и через этотже ПФСенс идет и локальная сеть в инет. Заранее благодарен. Что-то мне подсказывает, что оно так и работает, разве нет?