Проброс портов, pfBlockerNG, GeoIP
-
Добрый.
Мил человек, а чего Dst в правиле Any ? По всем правилам там должен быть WAN addr.Cкрин правил fw на WAN, пож-та. Всех. А не тот кусочек, что вы показали, т.к. даже в нем есть ошибка.
-
Добрый.
Мил человек, а чего Dst в правиле Any ? По всем правилам там должен быть WAN addr.Cкрин правил fw на WAN, пож-та. Всех. А не тот кусочек, что вы показали, т.к. даже в нем есть ошибка.
Мил человек…, даже если это и ошибка..., но это правило работает уже более 2 лет, конечно я могу поправить (и скорее всего поправлю).
Вот вам общая закладка Port Forwading.
Если я чего то не до понял и не то показал, уточняйте.
-
Cкрин правил fw на WAN-ах. Третий и последний раз. Что ж так туго-то :'(
-
Cкрин правил fw на WAN-ах. Третий и последний раз. Что ж так туго-то :'(
Звиняй, туплю что-то :)
Вам общий скрин Firewall-Rules-Wan или конкретно на проброшеные правила ? -
общий скрин Firewall-Rules-Wan
-
Вот
-
Желтым - правила откл, выделенное красным - объясните для чего ? А впрочем не объясняйте - откл. и его.
И еще. Есть ли правила во Флоатинг рулез? Если есть - скрин.
У вас же 2 ВАНА ? На 2-ом - такая же "красота"? Исправляйте и на нем.После всех правок - Reset states. Обязательно.
![2018-03-02 17_15_38.png](/public/imported_attachments/1/2018-03-02 17_15_38.png)
![2018-03-02 17_15_38.png_thumb](/public/imported_attachments/1/2018-03-02 17_15_38.png_thumb) -
Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже, там в Адвансах ограничение на кол-во соединений по TCP, на предмет если будут DDOS-ить на какой то порт который я забыл закрыть, страховка на всякий случай.
Да на втором канале такая же фиговина, но там эти правила выключены.Вот правила Float:
-
Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже
страховка на всякий случай.
И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.
-
Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже
страховка на всякий случай.
И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.
Уважаемый, там просто избыточные правила, я знаю что по сути PF и так заблокирует весь трафик идущий на не открытый порт, уж поверьте, в 90 случаях из 100 там блокируется или фильтруется трафик идущий на некоторые периодически открываемые порты, так что всё нормально, и вообще если вы не забыли то эта темы не об атаках на TS, а об том что не пропускаются некоторые IP хотя они есть в разрешённых.