Вопросы по начальному конфигурированию

dvserg

@ultra:

Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю  фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?

:-\ Там на первой странице специальная кнопочка с индикатором есть.

ultra

@dvserg:

@ultra:

Посмотрел, память действительно жрёт прилично. Я на виртуалке поставил 512 вот её почти всю и задействовало. Да и swap почти полностью занят. Как для больших сетей не вариант.
А вот с squidguard траблы, применяю  фильтры а он их не задействует. Вернее задействует но мне пришлось перезагружать полностью как саму машину с pfsense так и клиента. Просто перезагрузка сервиса не помогает. Это так и должно быть?

:-\ Там на первой странице специальная кнопочка с индикатором есть.

Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.

Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter  в опциях Traffic shaper тогда канал лимитируеться не зависимо от того  на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?

dvserg

@ultra:

Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter  в опциях Traffic shaper тогда канал лимитируеться не зависимо от того  на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?

В целом да.

ultra

@dvserg:

@ultra:

Вопрос по шейперу. Я так понимаю когда выставляешь ограничени полосы пропускания на вкладке squid, то лимитирование идёт только по 443 и 80 порту. Если же включить Limiter  в опциях Traffic shaper тогда канал лимитируеться не зависимо от того  на какой порт он идёт. То-есть весь трафик работает в предлах лимитированного канала. Верно?

В целом да.

Ясно. Спасибо.

Теперь вопрос в том на какое железо ставить. Исходить приходится из того что старых/незадействованных ПК нету, комплектующих тоже. То-есть нужно купить ПК под чистую установку на голое железо. Покупать любой ПК начального уровня с двумя гигабитными картами, или взять http://hotline.ua/network-servery/hp-proliant-n40l-658553-421/ с дополнительной сетевой? Как вообще PFsense дружит с современным железом?

werter

Я бы лучше собрал отдельно на АМД Socket FM2 (http://hotline.ua/computer-materinskie-platy/asus-f2a85-m/) + Athlon II 740  + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит (http://hotline.ua/computer/kontrollery-platy/38179-40710-38191-38198-38235/) + 2 винта (на Ваше усмотрение) + недорогой корпус.
Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.

Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)

ultra

@werter:

Я бы лучше собрал отдельно на АМД Socket FM2 (ITX, m-ATX) + Athlon II 740  + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит + 2 винта (на Ваше усмотрение) + недорогой корпус.
Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.

Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)

Ого, это уже целый комбайн получиться!) Мне бы по проще, одна машина - одна задача. В данном случае нужен только шлюз. Просто вариант в том, собирать самому лень, заказывать на стороне сборку(зная как фирмы к этому относятся) не очень то горю желанием, а вот взять уже готовую систему от производителя. всё же хоть как-то выглядит.

werter

Если так - возьмите что-то бэушное 2-3 летней давности + доп. сетевую.

netormoz

@werter:

Я бы лучше собрал отдельно на АМД Socket FM2 (http://hotline.ua/computer-materinskie-platy/asus-f2a85-m/) + Athlon II 740  + 4 Gb DDR3 1600 + отдельную сетевую Intel на гигабит (http://hotline.ua/computer/kontrollery-platy/38179-40710-38191-38198-38235/) + 2 винта (на Ваше усмотрение) + недорогой корпус.
Затем установил бы на все это дело гипервизор Proxmox в software raid1 , а pfsense использовал бы уже в виде виртуальной машины.

Таким образом вы получите не только pfsense, но и отличное поле для дальнейших экспериментов за немного большие деньги. Ну и плюс опыт ;)

самое главное в proxmox - это познать сетевую идеологию подключения VM. К примеру, авторы Proxmox заявляют, что с 2.0 можно пропустить на VM через Vmbr целое стадо виланов в транке. У меня до сих пор это не получается, то есть приходится растегировать виланы на proxmox как bond0.1 bond0.2 bond100, делать столько же vmbr и соответственно opt-интерфейсов на vm pfs внутри. Хотелось, чтобы vmbr пропуcкал trunk, а виланами занимался сам pfs.

ultra

Это все прекрасно, но зачем мне усложнять себе жизнь? Задачи стоят простые, вот и исходя из этих задач и подбираю железо. Если бы это было для дома, тогда бы таких вопросов не было. Так как это для предприятия, где не проходит фишка с б/у, тогда приходится думать о новых решениях. За подбор конфига, езду на своих двух по городу и сборку ПК мне никто не платит. Так что нужно определиться - готовое железо от вендора либо самосбор от фирмы. Главное чтобы Pfsense туда ещё встал, а то тут смотрю список поддерживаемого оборудования не слишком широк((((

netormoz

Берешь cd c pfs - перед покупкой компа грузишься с него. Если загрузка прошла и сетевухи увидел - бери.

ultra

@netormoz:

Берешь cd c pfs - перед покупкой компа грузишься с него. Если загрузка прошла и сетевухи увидел - бери.

Как-то об этом не подумал. Спасибо!

ultra

Новый вопрос в копилку.
Есть машина в сети на которой работают с системой клиент-банк. Возможно ли зарубить доступ в нет по всем адресам, кроме тех которые необходимы для синхронизации банковского ПО?

dr.gopher

@ultra:

Возможно ли зарубить доступ в нет по всем адресам, кроме тех которые необходимы для синхронизации банковского ПО?

Создайте два правила в самом верху Firewall
1. Разрешает с IP клиентбанка к IP клиент банк сервера.
2. Запрещает с IP клиентбанка  везде (*)

Firewall: Rules

Source откуда
Destination куда

35house

народ всем привет, не хочу создавать новую тему, напишу сюда, извиняюсь заранее если кто посчитает, что "насрал" в чужой теме ))))
В общем не особо я силен в сетях, поставил роутер с вайфай в сеть, все настройки на автомат получение параметров, dhcp на роутере завел в 0-ю подсеть, основная подсеть 1-я. Пфсенс получается висит на адресе 192,168,1,1 а все кто на роутере с вафлей получают диапазон 192,168,0,* так вот, сама морда открывается, т.е. на машине с адресом 192,168,0,2 на адрес 192,168,1,1 заходит без проблем, но вот на др сайты - болт. Проблема решилась только после того как прописал на роутере DNS провайдера, хотя на машинах которые сидят в подсети 192,168,1,* ничего прописывать не надо - все получается автоматом. Не то чтобы это великая проблема (роутер то всего один), но все же, мож кто знает как победить ???


werter

Поставить пф первым , ви-фи роутер перевести в режим ТД и пускай всем рулит пф. Иначе двойной НАТ и др. заморочки вам обеспечены.

35house

@werter:

Поставить пф первым , ви-фи роутер перевести в режим ТД и пускай всем рулит пф. Иначе двойной НАТ и др. заморочки вам обеспечены.

Спасибо ОГРОМЕННОЕ !!! Что то даже и не допер сначала это сделать ))) Это даже намного удобнее!

35house

Народ еще пара вопросов:
1. Возможно ли сделать шару ??? Сейчас в системе один винт на 250 гиг, ставил все по умолчанию с полным форматом вроде, вот возможно ли от него как то откусить чуть чуть или может даже уже стандартными средствами там есть папка пользователя, сделать общий доступ на нее в локалке.

2. Возможно ли поставить торрент качалку ?

Версия 2.0.1-RELEASE (amd64)
built on Mon Dec 12 18:16:13 EST 2011
FreeBSD 8.1-RELEASE-p6

Заранее благодарен.

werter

1. Google > samba pfsense
2. http://www.thin.kiev.ua/router-os/50-pfsense/618–transmission-pfsense.html

35house

Нашел вот такую статью https://doc.pfsense.org/index.php/Samba объясните что где делать ??? изв за нубство.

35house

в общем командой pkg_add -r samba36  саму самбу вроде как поставил. а дальше как ??? как папку создавать и добавлять права ???