Проблемы с внутренней сеткой
-
Так, шторма не наблюдается, что есть очень хорошо.
Как поключен WAN физически рассказывай. -
Есть мнение, что может быть проблема в сетевухе. Несколько раз встречал похожее с сетью.
-
3 utp и один ftp идут от каталисты,проверял все линки,один протянули ftp новый.порт на каталисте меняли.Линк когда доставал из pfsense и вставлял в ноут-все работало без проблем
сетевухи менял 3 штуки,и ставил pfsense с нуля на 2 разных сервака -
- Что такое ftp?
- На протяжении какого времени продолжается?
- Сохрани arp -an несколько раз, когда следующий раз случится.
-
FTP это экранированная витая пара.
продолжается от нескольких минут,до 12 часов!
DHCP уже заполнил весь статикой,сделал запрет по динамическим arp -
Файервол настроен?, чтобы отказа от обслуживания не случалось, можно выставить количество соединений по портам (в самих правилах раздел state), тогда при достижении лимита ддосивший комп отвалится, но pfsense должен продолжить работу, да и в логах файера появятся записи…
-
не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
выкладываю ван,лан стандартное правило-any
-
не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
выкладываю ван,лан стандартное правило-anyНазвание раздела: Advanced Options (это когда правило создаёшь, там ниже вот это самое и есть)
1. Советую на 1 день сделать набор стандартных правил с ограничениями (Simultaneous client connection limit, Maximum state entries per host, Maximum new connections / per second, State Timeout in seconds). За 1-2 дня хотя бы логи файера покажут откуда идёт мусор (если конечно дело не в железе)
2. Портов не так и много, стандартные до 1024, остальные можно и сделать алиасами типа 1024-65000 и будет одно правило на 50 тысяч портов, на которое тоже можно выставить ограничения.
-
À åñòü ó êîãî îïûò âûñòàâëåíèÿ ïîäîáíûõ îãðàíè÷åíèé, â ñåòêå îêîëî 60 ÷åëîâåê,ip òåëåôîíû è ïðî÷àÿ ìåëî÷ü.
-
НЕ пишите на этом форуме через IE!
sip прокидывается через siproxd, остальное (почта например) работает в диапазоне до 1024. -
Сори, не в курсе был про IE
Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочи -
Сори, не в курсе был про IE
Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочиСделайте правила для одного компа, а ещё лучше в виртуалке и посмотрите как влияют различные параметры. Гляньте pfsense book. Потому что то для одной сети работает, для другой может не подойти.
Для http на 60 машин я бы поставил 30 в секунду, тайм аут в 5, количество для хоста 200, для всех машин 12000 (могу быть в корне не прав)
Кстати, есть ещё особенность, что в PF по умолчанию таблица в 10 000 состояний, возможно вам нужно увеличить этот параметр.
-
Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная
-
Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная
Попробуйте нажать reset states в тот момент, когда инет отвалится у этих "некоторых" и проверить, появится инет или нет, тогда будет видно, заблокировал их файер из-за превышения лимита одновременных подключений или дело в чём то ещё.
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
-
Сбросил State - не помогло
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
МОжно в правилах файера поставить галку log, тогда там будет много всего. Инета нет у всех или только у некоторых компов?, что говорят в этотм момент пинги шлюзов, днс и трасерты?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
Прописать статикой и пинговать. В разделе system log - firewall
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем