pfSense и ограничение кол-ва сессий
-
О, нашел - zywall usg 100 там стоит... Зуксель, а не хуавей. Притом он является ядром, аж на 5 корпусов (5 зданий).
Ладно, на это я смогу слабо повлиять - ибо наше руководство слышать на слышали о L3.
Так, а чем States от сессий отличаются? Что это вообще такое States?
И как можно порезать States одним правилом на много хостов? Может объединить хосты в группы, как-нибудь. Простите, я слабо шарю в pfSense. Думал поставлю шлюзом-ну пропишу таблицу ИП адресов и буду палить кто больше трафика гоняет (такое было ТЗ ранее)- а тут пошли подставы, то порты обрежут, то еще чего) -
Добрый
И как можно порезать States ?
Даже и не думайте. Приложения на раб. местах могут использовать далеко ни один линк для своей работы.
@nubik
На чем собран пф ?
Если на чем-то не оч. старом, то я бы сильно настоял на замене зюхеля пф-ом (или на пф + L2-свитч).
Затем настроил бы на пф лимитер (или шейпер).
Можно еще оставить открытыми только опред. набор портов, иначе торрентами могут уложить всё.Зы. Совет. Попробуйте договориться с местным "суперОдмином". Только без криков и угроз. Опишите\покажите на ютубе ему все преимущества пф. Если человек хоть немного в теме, то поймёт. Да и ему опыт будет.
Зы2. Особенно делать акцент на гибкости, независимости от произ-ля оборудования, возможности динамически резать трафик на всех (лимитер), использовать squid, suricata. -
@werter , отдать свой пф не получится, разные здания, разные мат ответственные и так далее. пф я специально для себя брал. на новом 1151 сокете, какой-то селерончик 4 гига, 120 гигов ссд . Надолго собирал-но с учетом новых требований (логирование и прочее) возможно вылезут косяки с перезаписью ССД.
Менять что-то крупное админу будет тупо в ломы, многое подвязано завязано-надо другим админам говорить (а он нам и не говорит, мы по факту узнаем-нет инета, агась...созвон). Порты под торренты и все прочее вырезанны на зукселе, зачастую бывают проблемы с доступом куда-нибудь. Приходится просить супер админа открыть доступ.
Принцип того руководства где зухель стоит-экономить, запрещать и т.д. Совсем недавно со скандалом в приемную для гостей поставили ВайФай. Притом сначала я припер свой из дома и поставил-мне погрозили пальчиком и сказали выключать когда нет гостей....А через 2 недели приперли свой-воткнули и стоит не выключенный. Маразм( -
Нелегко вам.
Тогда никак.
Не получится оставить Пете вот такое кол-во линков, а Маше - чуть больше\меньше.
Почему? Да потому что и у Пети и у Маши 100500 софтинок на PC, к-ые пользуют 100500 линков для своего "здорового" жития.Пишите докладную рук-ву по подключению вас к отдельному линку.
Или наймите пацанов с района, к-ые объяснят этой жирной очкастой обезъяне (суперодмину) кто он по жизни(шутка)Зы. Насчет ви-фи. Если ваш роутер умеет Openwrt, то настоятельно рекомендую настроить общий ви-фи вот так https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guest-wlan-webinterface Иначе каждый, кто подкл-ся к вашему ви-фи прямиком попадает к вам в рабоч. сеть.
Зы2. Или у вас так https://www.youtube.com/watch?v=UoKlKx-3FcA ? -
@nubik said in pfSense и ограничение кол-ва сессий:
Так, а чем States от сессий отличаются? Что это вообще такое States?
https://itsecforu.ru/2018/01/17/%D0%B2-%D1%87%D0%B5%D0%BC-%D0%BE%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-stateless-%D0%BE%D1%82-stateful-%D1%84%D0%B0%D0%B5%D0%B2%D1%80%D0%BE%D0%BB%D0%BE%D0%B2/
https://en.wikipedia.org/wiki/Stateful_firewall@werter said in pfSense и ограничение кол-ва сессий:
Пишите докладную рук-ву по подключению вас к отдельному линку
Это было бы самым правильным.
-
То есть пф это stateless фаерволл? А можно переключить на stateful - это так, для общего развития.
-
@nubik Наоборот. PF - stateful.
-
@nubik said in pfSense и ограничение кол-ва сессий:
Порты под торренты и все прочее вырезанны на зукселе
Торренты должны быть вырезаны на вашей стороне, что уменьшить количество сессий на вышестоящий zywall usg 100.
-
@pigbrother , тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?
@Scodezan , порты у себя тоже порезал. С Вашим утверждением полностью согласен - нечего линию мусором занимать. Порты не панацея конечно, но хоть так.
-
@nubik said in pfSense и ограничение кол-ва сессий:
тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?
-
Из коробки - уже писал:
Жмем в дашбоард в State table size на Show states. Попадаем в Diagnostics->States. Или сразу идем туда.
В поле Filter expression вводим IP определенного хоста. -
Наглядно, с картинками, графиками - установкой в
System-Package Manager-Available Packages
пакета ntopng
Выглядит так:
https://www.ntop.org/products/traffic-analysis/ntop/
-