Проблемы с внутренней сеткой
-
не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
выкладываю ван,лан стандартное правило-any
-
не фаервол практически как был изначально при установки, state не менял,только по портам пару правил дописал.портов используют дохрена,все не выяснишь и наглухо не закроешь.что поставить в state-synproxy state?
выкладываю ван,лан стандартное правило-anyНазвание раздела: Advanced Options (это когда правило создаёшь, там ниже вот это самое и есть)
1. Советую на 1 день сделать набор стандартных правил с ограничениями (Simultaneous client connection limit, Maximum state entries per host, Maximum new connections / per second, State Timeout in seconds). За 1-2 дня хотя бы логи файера покажут откуда идёт мусор (если конечно дело не в железе)
2. Портов не так и много, стандартные до 1024, остальные можно и сделать алиасами типа 1024-65000 и будет одно правило на 50 тысяч портов, на которое тоже можно выставить ограничения.
-
À åñòü ó êîãî îïûò âûñòàâëåíèÿ ïîäîáíûõ îãðàíè÷åíèé, â ñåòêå îêîëî 60 ÷åëîâåê,ip òåëåôîíû è ïðî÷àÿ ìåëî÷ü.
-
НЕ пишите на этом форуме через IE!
sip прокидывается через siproxd, остальное (почта например) работает в диапазоне до 1024. -
Сори, не в курсе был про IE
Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочи -
Сори, не в курсе был про IE
Вопрос был такой-есть ли у кого уже опыт выставления подобных параметров,а то экспериментировать очень болезненно для работы пользаков. Какие цифры выставлять? в сети около 60 машин, и штук 20 ip шлюзов и прочей мелочиСделайте правила для одного компа, а ещё лучше в виртуалке и посмотрите как влияют различные параметры. Гляньте pfsense book. Потому что то для одной сети работает, для другой может не подойти.
Для http на 60 машин я бы поставил 30 в секунду, тайм аут в 5, количество для хоста 200, для всех машин 12000 (могу быть в корне не прав)
Кстати, есть ещё особенность, что в PF по умолчанию таблица в 10 000 состояний, возможно вам нужно увеличить этот параметр.
-
Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная
-
Пока подобрать так и не удалось,некоторые пользаки внезапно полностью блокируются,хотя явно польза от этих настроек явная
Попробуйте нажать reset states в тот момент, когда инет отвалится у этих "некоторых" и проверить, появится инет или нет, тогда будет видно, заблокировал их файер из-за превышения лимита одновременных подключений или дело в чём то ещё.
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
-
Сбросил State - не помогло
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
МОжно в правилах файера поставить галку log, тогда там будет много всего. Инета нет у всех или только у некоторых компов?, что говорят в этотм момент пинги шлюзов, днс и трасерты?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
Прописать статикой и пинговать. В разделе system log - firewall
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем
snort установлен?
Какая сейчас конфигурация файервола? Какие значения в кол-ве подключений? Поставьте галку лог напротив всех правил.Читайте system log там тоже может быть что-то, относящееся к проблеме.
Конфигурация железа какая, проц, кол-во оперативки? Какие установлены пакеты?
wan и lan не в одной подсети лежат?
P.S. Сам по себе pfsense не блокирует выборочно кого-то.
-
Snort не стоит - а стоит поставить?
Вайервол лан:lan net to lan net-без ограничений,
lan let to wan address:
Simultaneous client connection limit - 12000
Maximum state entries per host - 1000
Maximum new connections / per second - 50/1
State Timeout in seconds - 5в систем логах никаких левых сообщений,
Пакеты:PHPService,pfflowd,phpSysInfo
Машина:Intel(R) Pentium(R) 4 CPU 2.40GHz,512 оперативки,
загрузка проца - 3-10%При установку squid поднимается до 50
На wan белые адреса, Lan 192.168.1.1
-
Правило лан то лан не нужно (если это не нужно для какого-то хитрого действия).
Snort - может и стоит поставить, но в соседней ветке тема была, что он всю локалку отрубать начинал.
Оперативки, для 60 пользователей, мне кажется, маловато.
Пока у вас одно правило:
any_protocol lan_net any_port allow (т.е. дефолтное) вы не найдёте кто валит канал.
Мой совет, настройте нормальные правила. Если кому то крайне нужны ВСЕ порты, делайте для этого одного своё разрешаеющее всё и вся правило.Когда инет пропадает на странице system нажмите show states может прояснит что-либо. И саму таблицу то увеличили? по дефолту там 10 тысяч, в вашем случае это может быть мало.
-
Нет States не увеличивал потому что больше 5000 не поднимался.
Да,если других идей нет то придется писать правила по портам(((