Pfsense - не блокируется потоковый трафик

pedalkin.f

По сему выходит, что для того чтоб применить правило на одного, нужно обломать весь офис.

pigbrother

@pedalkin.f:

По сему выходит, что для того чтоб применить правило на одного, нужно обломать весь офис.

Ну, теоретически, может помочь физическое отключение\перезагрузка компьютера, которому назначено правило.

dvserg

справа от строки таблицы).

pigbrother

@dvserg:

справа от строки таблицы).

Таки да.
Спасибо.

pedalkin.f

@dvserg:

справа от строки таблицы).

Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.

pigbrother

@pedalkin.f:

@dvserg:

справа от строки таблицы).

Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.

как раз говорится про удалении конкретного state.

Ведь делал же такое при настройке VoIp шлюза - но забыл.

pedalkin.f

@pigbrother:

@pedalkin.f:

@dvserg:

справа от строки таблицы).

Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.

как раз говорится про удалении конкретного state.

Ведь делал же такое при настройке VoIp шлюза - но забыл.

Вариант конечно, спасибо за совет, но я так и не понял, почему нельзя закрыть все соединения по ip, а нужно крестиком закрывать 100 или больше стейтов, возможно в следующем релизе появится возможность =)

dvserg

http://www.opennet.ru/base/net/pf_optimization.txt.html

Фильтры "Stateful"

Работа pf, главным образом, состоит из двух операций: поиск
  соответствия в наборе правил и поиск в таблице состояний.
  Для каждого пакета pf сперва выполняет поиск по таблице состояний и
  если соответствующая запись будет найдена, то пакет немедленно
  передается. В противном случае, начинается поиск подходящего правила,
  которым определяется, блокировать ли или передать пакет.

Поиск по таблице значительно менее затратен, чем поиск по набору
  правил. Поскольку набор правил обычно просматривается снизу доверху,
  то стоимость поиска растет примерно пропорционально количеству правил.
  Помимо этого, в одном правиле могут сравниваться различные параметры
  пакета. Таблица состояния представляет собой древовидную структуру и
  поэтому стоимость обработки увеличивается логарифмически с увеличением
  числа записей.

Правила применяются для вновь создаваемых подключений не затрагивая уже установленные.

pigbrother

@pedalkin.f:

@pigbrother:

@pedalkin.f:

@dvserg:

справа от строки таблицы).

Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.

как раз говорится про удалении конкретного state.

Ведь делал же такое при настройке VoIp шлюза - но забыл.

Вариант конечно, спасибо за совет, но я так и не понял, почему нельзя закрыть все соединения по ip, а нужно крестиком закрывать 100 или больше стейтов, возможно в следующем релизе появится возможность =)

You can view a list of active Source Tracking ("sticky") states at Diagnostics > States on the Source Tracking tab.

This will list all currently active Source Tracking states, with their source/gateway pairing, number of active states, number of active connections, and the rate at which connections are being made.

The view can be filtered by typing some text into the box and pressing the Filter button.

Individual states can be removed by clicking the X at the end of the line. All states can be reset by using the Reset States tab.

This tab may only appear if you have "Sticky" enabled under System > Advanced on the Miscellaneous tab.

Если разрешены sticky connections, то отфильтровав в Source Tracking нужный IP все его states можно (?) убить одной кнопкой.
У меня мультиван, sticky connections включены и это вроде как работает.

pedalkin.f

@pigbrother:

@pedalkin.f:

@pigbrother:

@pedalkin.f:

@dvserg:

справа от строки таблицы).

Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.

как раз говорится про удалении конкретного state.

Ведь делал же такое при настройке VoIp шлюза - но забыл.

Вариант конечно, спасибо за совет, но я так и не понял, почему нельзя закрыть все соединения по ip, а нужно крестиком закрывать 100 или больше стейтов, возможно в следующем релизе появится возможность =)

You can view a list of active Source Tracking ("sticky") states at Diagnostics > States on the Source Tracking tab.

This will list all currently active Source Tracking states, with their source/gateway pairing, number of active states, number of active connections, and the rate at which connections are being made.

The view can be filtered by typing some text into the box and pressing the Filter button.

Individual states can be removed by clicking the X at the end of the line. All states can be reset by using the Reset States tab.

This tab may only appear if you have "Sticky" enabled under System > Advanced on the Miscellaneous tab.

Если разрешены sticky connections, то отфильтровав в Source Tracking нужный IP все его states можно (?) убить одной кнопкой.
У меня мультиван, sticky connections включены и это вроде как работает.

Жаль, но без мультивана это неработоспособно