Фильтрация пакетов, NAT, большой обьём трафик
-
Поглядите на Max. states - Maximum state entries this rule can create., могу вас заверить для UDP это работает, не всегда очень точно, но сам видел при DDOS атаке, и кстати почитайте как оно работает…
Так же помогает Max. src nodes которое тоже работает с UDP… -
https://www.packetmischief.ca/2011/02/17/hitting-the-pf-state-table-limit/
https://forum.pfsense.org/index.php?topic=68497.0
Max. states действует и на good и на bad guys, т.к. это общее правило по states.
Max. src nodes действует и на good и на bad guys, т.к. это общее правило по src nodes
Интереснее Max. src. states (Maximum state entries per host), но можно и не угадать и для good guys.
Итого. С большой долей вер-ти можно предположить, что вас немного выручают правила pfblocker-а по странам (просто и эффективно дропят вне зависимости от). Ибо вышеописанное c max states - рулетка в чистом виде в случае с UDP, т.е. может дропнуть линк и от хороших и от плохих парней.
Скрин того, как настроено это у вас. И механизм того, как вы высчитываете это значение.
-
https://www.packetmischief.ca/2011/02/17/hitting-the-pf-state-table-limit/
https://forum.pfsense.org/index.php?topic=68497.0
Max. states действует и на good и на bad guys, т.к. это общее правило по states.
Max. src nodes действует и на good и на bad guys, т.к. это общее правило по src nodes
Интереснее Max. src. states (Maximum state entries per host), но можно и не угадать и для good guys.
Итого. С большой долей вер-ти можно предположить, что вас немного выручают правила pfblocker-а по странам (просто и эффективно дропят вне зависимости от). Ибо вышеописанное c max states - рулетка в чистом виде в случае с UDP, т.е. может дропнуть линк и от хороших и от плохих парней.
Скрин того, как настроено это у вас. И механизм того, как вы высчитываете это значение.
Для меня главное остановить не нужный трафик на роутере, и какая разница Good или bad если канал и так забит, вы что думаете я себе какую-то антиддос систему делаю, которая разделяет хороший трафик от плохого…, вы вообще читали что я писал, для меня главное чтобы работал резервный канал и работал без сбоев, что там твориться на основном канале меня не волнует до тех пор пока он не мешает работать резервному, так что сортировкой трафика я и не думал заниматься, я его просто ограничиваю до той черты на которой он мне не мешает..., без обид, в который раз уже ловлю себя на мысли что вы не читаете что вам пишут или читаете так что видите там что-то своё... :)
-
У вас ведь проброс портов для TS имеется на обоих каналах? И народ подк. и к одному и ко второму ? И "плохой" народ тоже. Т.е. забив udp-пакетами один канал принимаются за другой.
Это так ?Скрин того, как настроено это у вас. И механизм того, как вы высчитываете это значение. Покажите. Объясните.
-
У вас ведь проброс портов для TS имеется на обоих каналах? И народ подк. и к одному и ко второму ? И "плохой" народ тоже. Т.е. забив udp-пакетами один канал принимаются за другой.
Это так ?Скрин того, как настроено это у вас. И механизм того, как вы высчитываете это значение. Покажите. Объясните.
Нет, про второй канал атакующие я думаю не знают, я его не свечу особо, атак на него не было.
Скрин как правило настроено, да просто в правиле которое автоматически создаётся при пробросе порта тимспика я добавляю несколько ограничений (пробрасываются же ещё не все страны):
Max. states - 600
Max. src nodes - 370
Max. src. states - 5Кроме того на это же правило проброса установлен лимитер ограничивающий обьём трафика который может передать один IP в секунду.
Это позволяет держать трафик который идёт с роутера даже по проброшенным портам в пределах нормы, остальное PF блокирует сам, просто иногда я ему немного помогаю и шаблонные атаки блокирую в Float, теми правилами которые вам так не понравились.
-
@oleg1969:
https://goo.gl/q55ETW
Хорошая ссылка !
–-------------------------
НО эта лучше
http://projectinformationsystem.com/venohostshare/download/dXBsb2Fkcy9lYm9vay9Qcm9ncmFtbWluZy9NYXN0ZXJpbmctcGZTZW5zZS5wZGY=/h/303f05eeebd764d37227c3f60514d97f
Полная Однако!
Спасибо уже прочитал, вы бы кстати перевели или выложили подробную статью о установке и настройке PFsense на вируталках, можно ли сделать так что на одном компе сделать две вируталки, одна будет фильтрующим бриджем, с которого трафик после определённого фильтра будет поступать на вторую виртуалку уже с обычным роутером, причём интересует возможность бриджа пропускать трафик сразу с двух провайдеров.
То есть 4 сетевые, два провайдера входят, фильтруются и выходят, а на втором роутере уже устанавливаются соединения PPPOE или что-то другое и выдаётся в локалку как обычно… -
Max. states - 600
Max. src nodes - 370
Max. src. states - 5Ок. Не спрашиваю. Но стиль "потому что гладиолус" прослеживается чОтко ;D
Кроме того на это же правило проброса установлен лимитер ограничивающий обьём трафика который может передать один IP в секунду.
Подробнее с этого места. Со скринами. Спасибо.
2 oleg1969
Спасибо. Но за такое тут могут и ай-ай-ай. Я бы убрал. Кому надо - в ЛС. -
Ок. Не спрашиваю. Но стиль "потому что гладиолус" прослеживается чОтко ;D
Подробнее с этого места. Со скринами. Спасибо.Господи какой же вы всё таки вредный и самоуверенный человек, все у вас гладиолусы, один вы админ на белом коне :)
Вот вам скрины, а я пошёл спать, мне завтра на работу с утреца, но вы не стесняйтесь, пишите свои комментарии, я с утра посмеюсь ;):
-
пишите свои комментарии, я с утра посмеюсь
Давайте посмеемся. Вместе.
На скринах :
Max states - 700 (общее кол-во)
Max. src nodes - 370
Max. src states - 5Max states = Max. src nodes X Max. src states , т.е. 370 X 5 = 1850 в "макс. комплектации". Можно немного меньше. Но никак не 700, т.к. это менее двух src states на один ip\ одного клиента. Или уменьшайте Max. src states. Но как при этом себя "голос" поведет - я хз. Сколько ему установленных udp-линков надо для одного звонка - 2-3? Уточните этот момент.
У вас на TS аж 370 человек? Пересчитайте все учетки на TS, умножьте и введите верные значения. Прим.: умножать на калькуляторе, потому как доверия уже нетУ :'(
Вот такие сейчас "математики".
По Лимитеру.
Скорее всего он неверно сконфигурирован\ правило fw не то (возможно, Лимитер нужно к правилу во Флоатинг рулез привязать, т.к. они работают первее правил на интерфейсах). Ибо не было бы на вас атак в сотню мегабит при 400 кбит\с на чел с такими настройками. Плюс 400 кбит\с для голоса явно избыточно.Вот вам скрины, а я пошёл спать, мне завтра на работу с утреца
И контакты начальника. Хотел бы с ним побеседовать. Если вы и он - it-ники. Если же он "бизнесмЭн" - считайте, что вам крупно повезло.
-
А где здесь криминал ?
Все найдено на просторах Инета , тем более ссылка в свободном доступе.Не все, что можно найти на просторах интернета законно, и то, что книгу ммм… выложил кто-то другой не делает ее бесплатной.
https://www.amazon.com/Mastering-pfSense-David-Zientara/dp/1786463431/ref=sr_1_1_sspa?ie=UTF8&qid=1520706884&sr=8-1-spons&keywords=Mastering+pfSense&psc=1Лучше ссылку все же удалить.
-
werter
Да, да, да, у меня всё неверно сконфигурировано, и лимитер, хотя он работает, были уже идиоты пытавшиеся завалить меня трафиком с одного соединения на проброшенный порт, проверенно уже не раз, и не два и даже не десять, но раз вы сказали то естественно он не работает, надо удалит (сарказм) :)
На счёт states, такие настройки сделаны для свободного прохождения трафика от правильных пользователей, когда нет DDOS атак, да там не совсем верны цифры в математическом плане, но я их подбирал во время атаки, и если честно мне некогда было считать, а на данный момент, я их не трогаю, работает и ладно, или мне их тоже надо удалить только потому что вам не нравиться.
Ещё раз повторю цифры сделаны с запасом, бывает что обычный пользователь за счёт всяких плагинов умудряется создать не два, а больше state, потому и поставил Max. src states не 2, а 5.
Max. src nodes да сделал 370…, раньше было чуть более 200, но перед Новым Годом господа ддосеры похоже брали отпуск и у меня на сервере порой тусовались 250-260 человек каждый день и я просто не считая накинул параметр до 370, да Max states тоже надо было бы чуть увеличить, но так и не понадобилось пока что в связи с вновь возобновившимися атаками.Как я уже и сказал, Лимитер привязан к правилу которое автоматически создаётся при пробросе порта Тимспика, зачем я буду создавать ещё одно правило во Float, вы похоже опять пропустили половину моего текста мимо глаз, то тут мне советуют не делать лишних правил в Float, то сами же говорят создать дубль :).
Так что завязывайте с умным видом говорить прописные истинны и язвить, меня вы этим не заденете, а себя выставляете в не очень хорошем свете, все мои настройки проверенны, и уже работают под большой нагрузкой не один год, возможно они немного не точны, но они рабочие, не важно что вам кажется, тем более если вы не можете обьяснить что и почему неправильно.
