Если IP жертвы один и помимо LAN других сетей нет, то Source - нужный IP, protocol - any, destination и порт - не указываете. Action - block или reject. Если жертв более одной - создайте алиас с их IP, и в Source указываете этот алиас. Если же жертв более одной, и есть другие сети, доступные, через VPN, например, доступ к которым нужно оставить - удобно использовать совет  nuihuase с использованием  NOT, при желании дополнив его алиасами. Правило поставить выше, чем Default allow LAN to any rule. Для удобства чтения - пример такого правила с Микротик: action=reject chain=forward comment="No Internet Access" dst-address-list=**!**Local_subnets  src-address-list=No_Internet где: Local_subnets - список(алиас) локальных сетей. No_Internet -  список(алиас) ограничиваемых IP ! - означает NOT. Сессии, открытые с IP жертв до применения правила могут довольно долго продолжать работать до того, как их убьет pfSense. Поэтому  - reset states или reboot.

@werter Спасибо за  интересную  инфу по ссылкам. У меня в pfSense некоторое время работала купленная на развалах ebay  карта с названием IBM Dual Port Pro/1000 by Intel. Ее МАКи  еще более странные, как номер партбилета В.И. Ленина: 00-00-00-00-00-01 00-00-00-00-00-02

так есть способ или нет?

Доброе Была версия 2.2.2. Все работало идеально. Обновился автоматом до версии 2.3.2. Что в логах pf? Как вариант - попробоваьт поднять pf вер. 2.3.х на чистую и проверить, будет ли работать. Решение не найдено в версии 2.3.2 какие то косяки. Надеюсь все таки их отыщут и поправят! Всё тут https://redmine.pfsense.org/projects/pfsense/roadmap Напишите им.

Доброе. В Firewall Rules разрешил на wan и lan интерфейсах протокол gre от с любыми source и distanation. Вот что в линуксе получаю при попытке установить vpn соединение. Скрины правил fw. Вам проще посмотреть в логах fw, что блокируется. Проще просто открыть всё на адреса 1с-сервисов для ЛАН.

Доброе IP/gateway - это адрес l2tp-сервера. И у вас он есть в бумажке, к-ый выдал вам Фридом. Кстати, Фридом и IPoE предоставляет http://freedom-vrn.ru/support/router/rout.html. Только ip при этом будет серый (?)

Layer7 практически не работал в 2.2.х, а в 2.3.х удален из системы вообще.

@dirar: У меня в филиале также в качестве шлюза используется pfSense. Настроил там squid+squidGuard так же, как в Управлении. Самое интересное - там в филиале skype работает. Ну никак не могу все это объяснить. Проверяйте топологию сети. Шлюзы и настройки прокси. Маршруты. Проверте идут ли пакеты через прокси. Чудес не бывает.

У меня точно такая же проблема. Поставил, как вы и писали 1, но не помогает. Data payload за что отвечает?

Придется что-ли еще один pfSense ставить между кабелем который в интернет смотрит и текущим pfSense, и уже им шейпить? Нельзя ли обойтись одним сервером?

redis-server /usr/local/etc/redis.conf Actually worked, but i wonder why ntopng can't start it right way ???

ооо, спасибо огромное за эту ссылочку. я и не знал про этот проект, а он действительно помог решить мою проблему, над которой я бился 4 дня, за 5 минут. а я уж хотел отказываться от pfsense в пользу чистого freebsd… резать скорости мне нет необходимости, а блочить инет можно через squidguard, вроде, основываясь на вхождение в доменные группы. но в этом тоже пока нет необходимости. основной проблемой было подружить домен с прокси.

Описанная выше схема прекрасно работает.

Есть 3 места где это можно сделать: 1. WebGUI: Assign Interface (Самое удобное и простое) 2. В консоли (если WebGui недоступен и нет настроеных VLAN ) 3. Посредством манипуляций с конфигурационным файлом. (Вариант для гуру)

Логично. Но я один из сторонников мнения держать граничный роутер на физической машине. Недавно описывал тут ситуацию, когда меня это выручило.

Ну если на одном порту 5 белых адресов, тогда надо этот порт воткнуть в порт управляемого коммутатора с настроенными 5 виланами, каждый IP это отдельный вилан. На PFSense создать OPT интерфейс для WAN с разными тегами. Соответственно у Вас появится 5 разных gateway и их можно назначить отдельным компьютерам. Наверное, можно так.

Destination -> LAN Address 192.168.168.5 порт 8880 ;)

Аналогично на на группы AD? Возможно ли реализовать что бы Boss - ходили с максимальной скорость SuperUsers - имели среднюю скорость и если нет боссов забирали часть их скорости users - делили между собой остатки Все три группы это CN  в AD

У Вас где то либо запрещен 80 порт по правилам выше, либо неправильно указаны правила для портов…