PfSense для средней сети и настройка правил.

rubic

@pigbrother:

Какой правильный вывод из этого следут сделать? Обязательно заполнять Remote Network/s и на клиенте?

Не и на клиенте, а только на клиенте, если negate_networks вам так дороги)

pigbrother

@werter
Так нет, устроили тут "Твиттер" честное слово : "Прописал строку, удалил строку" и т.д. и т.п.

Показалось, что тема negate в деталях интересна не только мне. Если этим отвлек\напряг вас - не обессудьте, старею, наверное.

werter

@ pigbrother

Пардоньте и вы меня, но вот сложилось такое впечатление.
P.s. "Не ошибается тот , кто ничего не делает"(с)

Rearden

Коллеги, приветствую!
Ограничил доступ к ssh,http как показано на скриншоте. На самом деле всё просто - первым правилом разрешается пинговать шлюз, следующим правилом разрешается доступ к локальным ресурсам (на тестовом роутере сделано from $net to $servers any, в идеале надо сделать доступ только к определенным портам, Например from $net to $server 80,25 etc.). Третьим правилом разрешается "выход в интернет" но кроме $local_networks в чей диаппазон и входит адрес конкретного маршрутизатора.

На данный момент полет нормальный. 18 VLAN'ов. States в среднем 10k (в данный момент 7% (6461/98000)).
За 37 дней аптайма был следующий глюк - сервер перестал пускать на вэб-интрефейс. Проблема решилась удалением php-sockets из /tmp и рестартом webconfigurator.

Далее есть непонятка с NetFlow. Сейчас работает softflowd. На самом деле не понятно как работает, ибо в том VLANe на который он натравлен крайне мало netflow трафика (несколько пакетов в 5 минут), соответственно в биллинге не обновляется информация о трафике. Пробовал pfflowd, он генерит больше трафика, но постоянно падает. Так что вопрос о netflow остается открытым. На продакшене сейчас работает через ngctl и правило ipfw add ngtee 5 ip from any to any in.

werter

https://forum.pfsense.org/index.php?topic=78224.30

И да, по первому правилу (сверху вниз) - fw разрешает\запрещает трафик только ко внешним сетям. У вас же правило, к-ое пытается обработать трафик в одной с pfsense сети.
Толку от него - нуль.

Поправьте (или проверьте) , если я не прав.

Rearden

werter, смотрите:
Первое правило - это разрешение пинговать шлюз (Proto ICMP)
Второе правило - разрешение трафика до серверов
Третье правило - выход в инет

werter

@Rearden:

werter, смотрите:
Первое правило - это разрешение пинговать шлюз (Proto ICMP)
Второе правило - разрешение трафика до серверов
Третье правило - выход в инет

Как работают правила - я в курсе . Еще с первых версий m0n0wall-а.

И да, по первому правилу (сверху вниз) - fw разрешает\запрещает трафик только ко внешним сетям. У вас же правило, к-ое пытается обработать трафик в одной с pfsense сети. Толку от него - нуль.

Проверили это ?

Rearden

Проверили это ?

Не понимаю, что Вы имеете ввиду.

werter

Отключите\удалите то правило и проверьте будет ли пинг.

Rearden

не пингует без него.