Проблемы с внутренней сеткой
-
- Что такое ftp?
- На протяжении какого времени продолжается?
- Сохрани arp -an несколько раз, когда следующий раз случится.
-
FTP это экранированная витая пара.
продолжается от нескольких минут,до 12 часов!
DHCP уже заполнил весь статикой,сделал запрет по динамическим arp -
Файервол настроен?, чтобы отказа от обслуживания не случалось, можно выставить количество соединений по портам (в самих правилах раздел state), тогда при достижении лимита ддосивший комп отвалится, но pfsense должен продолжить работу, да и в логах файера появятся записи…
-
не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
выкладываю ван,лан стандартное правило-any
-
не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
выкладываю ван,лан стандартное правило-anyНазвание раздела: Advanced Options (это когда правило создаёшь, там ниже вот это самое и есть)
1. Советую на 1 день сделать набор стандартных правил с ограничениями (Simultaneous client connection limit, Maximum state entries per host, Maximum new connections / per second, State Timeout in seconds). За 1-2 дня хотя бы логи файера покажут откуда идёт мусор (если конечно дело не в железе)
2. Портов не так и много, стандартные до 1024, остальные можно и сделать алиасами типа 1024-65000 и будет одно правило на 50 тысяч портов, на которое тоже можно выставить ограничения.
-
À åñòü ó êîãî îïûò âûñòàâëåíèÿ ïîäîáíûõ îãðàíè÷åíèé, â ñåòêå îêîëî 60 ÷åëîâåê,ip òåëåôîíû è ïðî÷àÿ ìåëî÷ü.
-
НЕ пишите на этом форуме через IE!
sip прокидывается через siproxd, остальное (почта например) работает в диапазоне до 1024. -
Сори, не в курсе был про IE
Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочи -
Сори, не в курсе был про IE
Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочиСделайте правила для одного компа, а ещё лучше в виртуалке и посмотрите как влияют различные параметры. Гляньте pfsense book. Потому что то для одной сети работает, для другой может не подойти.
Для http на 60 машин я бы поставил 30 в секунду, тайм аут в 5, количество для хоста 200, для всех машин 12000 (могу быть в корне не прав)
Кстати, есть ещё особенность, что в PF по умолчанию таблица в 10 000 состояний, возможно вам нужно увеличить этот параметр.
-
Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная
-
Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная
Попробуйте нажать reset states в тот момент, когда инет отвалится у этих "некоторых" и проверить, появится инет или нет, тогда будет видно, заблокировал их файер из-за превышения лимита одновременных подключений или дело в чём то ещё.
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
-
Сбросил State - не помогло
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
МОжно в правилах файера поставить галку log, тогда там будет много всего. Инета нет у всех или только у некоторых компов?, что говорят в этотм момент пинги шлюзов, днс и трасерты?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
Прописать статикой и пинговать. В разделе system log - firewall
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем
snort установлен?
Какая сейчас конфигурация файервола? Какие значения в кол-ве подключений? Поставьте галку лог напротив всех правил.Читайте system log там тоже может быть что-то, относящееся к проблеме.
Конфигурация железа какая, проц, кол-во оперативки? Какие установлены пакеты?
wan и lan не в одной подсети лежат?
P.S. Сам по себе pfsense не блокирует выборочно кого-то.
-
Snort не стоит - а стоит поставить?
Вайервол лан:lan net to lan net-без ограничений,
lan let to wan address:
Simultaneous client connection limit - 12000
Maximum state entries per host - 1000
Maximum new connections / per second - 50/1
State Timeout in seconds - 5в систем логах никаких левых сообщений,
Пакеты:PHPService,pfflowd,phpSysInfo
Машина:Intel(R) Pentium(R) 4 CPU 2.40GHz,512 оперативки,
загрузка проца - 3-10%При установку squid поднимается до 50
На wan белые адреса, Lan 192.168.1.1
-
Правило лан то лан не нужно (если это не нужно для какого-то хитрого действия).
Snort - может и стоит поставить, но в соседней ветке тема была, что он всю локалку отрубать начинал.
Оперативки, для 60 пользователей, мне кажется, маловато.
Пока у вас одно правило:
any_protocol lan_net any_port allow (т.е. дефолтное) вы не найдёте кто валит канал.
Мой совет, настройте нормальные правила. Если кому то крайне нужны ВСЕ порты, делайте для этого одного своё разрешаеющее всё и вся правило.Когда инет пропадает на странице system нажмите show states может прояснит что-либо. И саму таблицу то увеличили? по дефолту там 10 тысяч, в вашем случае это может быть мало.