Фаервол, правила и разрыв соединений

dvserg

@intronet:

@the4:

удали это правило из states, там строка для поиска есть

Не помогло.
Нужно исходить из того что соединений ну допустим 300(постоянно) и например соединения идут веб сайт, музыкальный поток, и мне его предположим нужно закрыть на ремонт, что я делаю-выключаю разрешающее правило и система должна отбросить все соединения относящиеся к этому правилу, банально отрабатывать правила по умолчанию, т.е. что не разрешено, то запрещено.

Запрещаются все новые соединения, старые продолжают работать до разрыва. Для их сброса нужно сбросить таблицу состояний, лучше полностью. Это не баг, а фишка системы.

intronet

@dvserg:

Запрещаются все новые соединения, старые продолжают работать до разрыва. Для их сброса нужно сбросить таблицу состояний, лучше полностью. Это не баг, а фишка системы.

В общем получается только со сбросом всех соединений, что равносильно перезагрузке системы. Но теперь ясно как сбросить связи
К чему всё это, допустим идет атака на внешний интерфейс и одновременно с этим производится оплата через банк-клиент или передается какая другая не маловажная информация изнутри сети, разрывать соединение естественно нельзя, правило не будет отрабатывать на уже установленные соединения, вот как тогда быть в такой ситуации?

dvserg

Вот описание http://www.openbsd.org/faq/pf/ru/filter.html#state
Не нужно драматизировать и пытаться вручную управлять системой. Положитесь на ум людей, решивших подобные вопросы за нас с Вами. К тому-же для защиты от "атак" в системе есть много хороших опций.

intronet

@dvserg:

Вот описание http://www.openbsd.org/faq/pf/ru/filter.html#state
Не нужно драматизировать и пытаться вручную управлять системой. Положитесь на ум людей, решивших подобные вопросы за нас с Вами. К тому-же для защиты от "атак" в системе есть много хороших опций.

И всё таки, я могу через веб интерфейс разорвать отдельно-взятое соединение?

dvserg

@intronet:

@dvserg:

Вот описание http://www.openbsd.org/faq/pf/ru/filter.html#state
Не нужно драматизировать и пытаться вручную управлять системой. Положитесь на ум людей, решивших подобные вопросы за нас с Вами. К тому-же для защиты от "атак" в системе есть много хороших опций.

И всё таки, я могу через веб интерфейс разорвать отдельно-взятое соединение?

Конечно. В таблице States справа кнопка есть против каждого соединения. Как сказано выше - в фильтре задаете параметр и фильтруете все подходящие.

intronet

@dvserg:

Конечно. В таблице States справа кнопка есть против каждого соединения.

Да вот что-то не получается разорвать ping. Может потому что бета версия.

dvserg

@intronet:

@dvserg:

Конечно. В таблице States справа кнопка есть против каждого соединения.

Да вот что-то не получается разорвать ping. Может потому что бета версия.

Что и откуда пингуете?

intronet

@dvserg:

Что и откуда пингуете?

А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.

dvserg

@intronet:

@dvserg:

Что и откуда пингуете?

А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.

Важно. Если пингуете с самого pfSense, то на нем все исходящие разрешены. Рулятся только входящие.

intronet

@dvserg:

@intronet:

@dvserg:

Что и откуда пингуете?

А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.

Важно. Если пингуете с самого pfSense, то на нем все исходящие разрешены. Рулятся только входящие.

Я знаю.