настройка PFsense, 2 wan, балансировка, приоретет. И ещ&#
-
Попробуйте увеличить макс количество стейтс и уменьшить их время жизни.
-
ок. Где это делается?) и на сколько увеличивать кол. стейтс и уменьшать время?
-
Каким образом в PFsense можно обойти правила фаервола?
Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
Что это за фигня? -
Каким образом в PFsense можно обойти правила фаервола?
Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
Что это за фигня?Включите логирование и ищите правило.
-
Если установлен CP, то особо умные могут поднимать ppp сессии, которые не будут логироваться.
Кстати, в правилах Protocol any подразумевает только протоколы L3 ? -
Судя по всему да, L3.
Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано? -
Судя по всему да, L3.
Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?Ну так пользовательские фаерволлы еще никто не отменял. Включая и стандартный. Вот они ICMP и блочат.
-
Я всегда при подключении машины к локалке, вырубаю фаерволы. Хотя может и сама включила хз…
-
Ребят, помогите хоть с этим разобраться. В правилах фаервола указываются очереди шейпера, чем отличаются Ackqueue от Queue? Можно указать одну очередь, как на втором скрине, как будет работать?
-
Прошу совета. Проблема следующая, при 100% загрузке внешнего канала, не могу зайти на WEB морду сенса. Вопрос как сделать правило с отдельным лиметерем, источником в виде IP моей машины и назначением в виде IP сенса. Пробывал, не выходит в лиметер инфо, по созданным трубам трафик не бегает. Вариант два, поставить третью сетевую, чисто для доступа к PFsense. Что посоветуете?
-
Что посоветуете?
Железо помощнее.
-
Что посоветуете?
Железо помощнее.
Это из за железа? внешний канал 4Мбита, если удается пробиться на веб морду и уменьшить лиметер, что бы загрузка канала не была впотолок, то веб морда растормаживается.
Ниже скрин с загрузкой железа при 85% загрузке канала.
-
Всем доброго времени суток. Возник такой вопрос - Лиметером режется скорость: входящая 1мбит, выходящая 512кбит. На спидтесте все четко показывает, то есть лиметер работает. Смотрю на LAN порт в трафик графике, у некоторых проскакивает исходящая скорость 600 - 800 - 1200 кбит, как с этим бороться? куда смотреть?
ps правила с лиметером сделаны на LAN интерфейсе.
-
Как в PFsense заменить DNS(выключить)? Что бы вместо внутреннего, использовался DNS гугла или яндекса например. Я нашел только где добавить дополнительные DNS. Но клиентам все равно раздается DNS 192.168.1.1, адрес sensa.
Исходя из скрина, правильно я сделал - клиентам раздается мой ДНС, но он использует ДНС гугла. или я не правильно понял эту функцию?
-
Клиентам раздается с DHCP - там и ищите.
-
В общем разобрался:
- в General Setup устанавливаем галочку Allow DNS server list to be overridden by DHCP/PPP on WAN.
- там же устанавливаем Do not use the DNS Forwarder as a DNS server for the firewal(дабы вырубить локальный 127.0.0.1).
В итоге, клиентам раздается ДНС 192.168.1.1, но используется установленный в графе DNS Server(как на скрине выше).
Осталось два вопроса:
Первый - хотелось бы совсем избавится от службы ДНС и раздавать сразу внешний(чей ни будь) ДНС, для уменьшения нагрузки на процессор.
Второй - как раздать разным клиентам разные ДНС(есть необходимость), например одному алису ДНС гугла, другому ДНС яндекса. -
Клиентам раздается с DHCP - там и ищите.
В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.
Хелп ми))
-
Клиентам раздается с DHCP - там и ищите.
В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.
Хелп ми))
Ну так и вбивайте в эти поля нужные Вам адреса DNS-серверов. Клиенты, получающие адреса по DHCP, получат эти адреса в кач-ве DNS-серверов.
И добавить правило для прохождения DNS запросов от клиентов в fw не забудьте.
P.s. И что значит "… разным группам клиентов" ? У вас несколько LAN (физически)? Или VLAN-ы организованы?
-
Клиентам раздается с DHCP - там и ищите.
В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.
Хелп ми))
Ну так и вбивайте в эти поля нужные Вам адреса DNS-серверов. Клиенты, получающие адреса по DHCP, получат эти адреса в кач-ве DNS-серверов.
И добавить правило для прохождения DNS запросов от клиентов в fw не забудьте.
P.s. И что значит "… разным группам клиентов" ? У вас несколько LAN (физически)? Или VLAN-ы организованы?
Нет LAN один, VLAN-ов тоже нет. Мысль была такая, создать два(три) алиса, и сделать так чтобы каждому алису абонентов давался разный DNS. Цель - у яндекса есть ДНС блокирующий опасный и взрослый контент, так вот некоторой части адресов нужно раздать этот ДНС, остальным другой.
PS и еще назрел вопрос. IP, шлюз, ДНС раздаются автоматически через DHCP server с привязкой IP+MAC. На DHCP server установлена опция Deny unknown clients. В fw правило запрещающие весь диапазон кроме IP отданных клиентским машинам. Как избавится от возможности ручной смены IP клиентом? Сейчас если при ручном вводе попадаешь на занятый IP онлайн, то ОС ругается на занятый IP, но ели машина с привязанным IP уходит в офлайн, то при ручном вводе все настройки применяются и фаервол спокойно пропускает машину с ручными настройками.
-
Нет LAN один, VLAN-ов тоже нет. Мысль была такая, создать два(три) алиса, и сделать так чтобы каждому алису абонентов давался разный DNS. Цель - у яндекса есть ДНС блокирующий опасный и взрослый контент, так вот некоторой части адресов нужно раздать этот ДНС, остальным другой.
И как Вы это себе представляете? Похожее решается через отдельные сетевые на pf для каждой вашей группы адресов.
Как избавится от возможности ручной смены IP клиентом? Сейчас если при ручном вводе попадаешь на занятый IP онлайн, то ОС ругается на занятый IP, но ели машина с привязанным IP уходит в офлайн, то при ручном вводе все настройки применяются и фаервол спокойно пропускает машину с ручными настройками.
Нужен будет свитч с поддержкой этого - http://xgu.ru/wiki/Опция_82_DHCP . Из d-link - эти http://hotline.ua/network/kommutatory/?q=DES-3200
