Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense и ограничение кол-ва сессий

    Scheduled Pinned Locked Moved Russian
    12 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nubik
      last edited by

      О, нашел - zywall usg 100 там стоит... Зуксель, а не хуавей. Притом он является ядром, аж на 5 корпусов (5 зданий).
      Ладно, на это я смогу слабо повлиять - ибо наше руководство слышать на слышали о L3.
      Так, а чем States от сессий отличаются? Что это вообще такое States?
      И как можно порезать States одним правилом на много хостов? Может объединить хосты в группы, как-нибудь. Простите, я слабо шарю в pfSense. Думал поставлю шлюзом-ну пропишу таблицу ИП адресов и буду палить кто больше трафика гоняет (такое было ТЗ ранее)- а тут пошли подставы, то порты обрежут, то еще чего)

      P 1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        Добрый

        И как можно порезать States ?

        Даже и не думайте. Приложения на раб. местах могут использовать далеко ни один линк для своей работы.

        @nubik
        На чем собран пф ?
        Если на чем-то не оч. старом, то я бы сильно настоял на замене зюхеля пф-ом (или на пф + L2-свитч).
        Затем настроил бы на пф лимитер (или шейпер).
        Можно еще оставить открытыми только опред. набор портов, иначе торрентами могут уложить всё.

        Зы. Совет. Попробуйте договориться с местным "суперОдмином". Только без криков и угроз. Опишите\покажите на ютубе ему все преимущества пф. Если человек хоть немного в теме, то поймёт. Да и ему опыт будет.
        Зы2. Особенно делать акцент на гибкости, независимости от произ-ля оборудования, возможности динамически резать трафик на всех (лимитер), использовать squid, suricata.

        N 1 Reply Last reply Reply Quote 0
        • N
          nubik @werter
          last edited by

          @werter , отдать свой пф не получится, разные здания, разные мат ответственные и так далее. пф я специально для себя брал. на новом 1151 сокете, какой-то селерончик 4 гига, 120 гигов ссд . Надолго собирал-но с учетом новых требований (логирование и прочее) возможно вылезут косяки с перезаписью ССД.
          Менять что-то крупное админу будет тупо в ломы, многое подвязано завязано-надо другим админам говорить (а он нам и не говорит, мы по факту узнаем-нет инета, агась...созвон). Порты под торренты и все прочее вырезанны на зукселе, зачастую бывают проблемы с доступом куда-нибудь. Приходится просить супер админа открыть доступ.
          Принцип того руководства где зухель стоит-экономить, запрещать и т.д. Совсем недавно со скандалом в приемную для гостей поставили ВайФай. Притом сначала я припер свой из дома и поставил-мне погрозили пальчиком и сказали выключать когда нет гостей....А через 2 недели приперли свой-воткнули и стоит не выключенный. Маразм(

          S 1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by werter

            Нелегко вам.
            Тогда никак.
            Не получится оставить Пете вот такое кол-во линков, а Маше - чуть больше\меньше.
            Почему? Да потому что и у Пети и у Маши 100500 софтинок на PC, к-ые пользуют 100500 линков для своего "здорового" жития.

            Пишите докладную рук-ву по подключению вас к отдельному линку. Или наймите пацанов с района, к-ые объяснят этой жирной очкастой обезъяне (суперодмину) кто он по жизни (шутка)

            Зы. Насчет ви-фи. Если ваш роутер умеет Openwrt, то настоятельно рекомендую настроить общий ви-фи вот так https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guest-wlan-webinterface Иначе каждый, кто подкл-ся к вашему ви-фи прямиком попадает к вам в рабоч. сеть.
            Зы2. Или у вас так https://www.youtube.com/watch?v=UoKlKx-3FcA ?

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother @nubik
              last edited by

              @nubik said in pfSense и ограничение кол-ва сессий:

              Так, а чем States от сессий отличаются? Что это вообще такое States?
              https://itsecforu.ru/2018/01/17/%D0%B2-%D1%87%D0%B5%D0%BC-%D0%BE%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-stateless-%D0%BE%D1%82-stateful-%D1%84%D0%B0%D0%B5%D0%B2%D1%80%D0%BE%D0%BB%D0%BE%D0%B2/
              https://en.wikipedia.org/wiki/Stateful_firewall

              @werter said in pfSense и ограничение кол-ва сессий:

              Пишите докладную рук-ву по подключению вас к отдельному линку

              Это было бы самым правильным.

              1 Reply Last reply Reply Quote 0
              • N
                nubik
                last edited by

                То есть пф это stateless фаерволл? А можно переключить на stateful - это так, для общего развития.

                P 1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @nubik
                  last edited by pigbrother

                  @nubik Наоборот. PF - stateful.

                  N 1 Reply Last reply Reply Quote 0
                  • S
                    Scodezan @nubik
                    last edited by

                    @nubik said in pfSense и ограничение кол-ва сессий:

                    Порты под торренты и все прочее вырезанны на зукселе

                    Торренты должны быть вырезаны на вашей стороне, что уменьшить количество сессий на вышестоящий zywall usg 100.

                    1 Reply Last reply Reply Quote 0
                    • N
                      nubik @pigbrother
                      last edited by nubik

                      @pigbrother , тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?

                      @Scodezan , порты у себя тоже порезал. С Вашим утверждением полностью согласен - нечего линию мусором занимать. Порты не панацея конечно, но хоть так.

                      P 1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @nubik
                        last edited by pigbrother

                        @nubik said in pfSense и ограничение кол-ва сессий:

                        тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?

                        1. Из коробки - уже писал:
                          Жмем в дашбоард в State table size на Show states. Попадаем в Diagnostics->States. Или сразу идем туда.
                          В поле Filter expression вводим IP определенного хоста.

                        2. Наглядно, с картинками, графиками - установкой в
                          System-Package Manager-Available Packages
                          пакета ntopng
                          Выглядит так:
                          https://www.ntop.org/products/traffic-analysis/ntop/

                        1 Reply Last reply Reply Quote 1
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.