pfSense и ограничение кол-ва сессий



  • Суть проблемы: мой шлюз пфсенс стоит за шлюзом Хуавей, который не в моем владении. И на данном шлюзе были лаги, так как он не вытягивал трафик. Админ решил резануть кол-во сессий с ИП моего шлюза.
    На данный момент стоит 1500 на 78 хостов. Это полный абзац-почта уходит с раза 4го. Но надо как-то ему аргументированно ответить, мол братан так вообще не возможно.
    Правильно ли я понимаю что пфсенс в разделе файрвол-правила как раз пишет сколько сессий открыто в данный момент и какой трафик прошел?
    А то у меня с одного компа только 47 сессий шпарит. Путем математических вычеслений получаем 78*50=3900, тоесть мне как минимум в 2 раза зарезали полосу..
    Может быть какие-нибудь советы, рекомендации по этому поводу еще будут?



  • @nubik said in pfSense и ограничение кол-ва сессий:

    стоит за шлюзом Хуавей, который не в моем владении. И на данном шлюзе были лаги, так как он не вытягивал трафик

    Если это xPON (или вообще ADSL) от Хуавей - ожидать от бытового устройства иного было бы странно.

    @nubik said in pfSense и ограничение кол-ва сессий:

    Правильно ли я понимаю что пфсенс в разделе файрвол-правила как раз пишет сколько сессий открыто в данный момент и какой трафик прошел?

    В общем да, только это не сессии, а states. Общее их число видно в дашбоард как State table size, детально, с фильтрами по IP\протоколам и т.д. - в Diagnostics->States

    @nubik said in pfSense и ограничение кол-ва сессий:

    Может быть какие-нибудь советы, рекомендации по этому поводу еще будут?

    Кроме как уменьшать количество states, играть с State Timeouts (и, может быть, ширину канала) с вашей стороны - пожалуй, ничего.

    Правильнее, конечно, уговорить перевести Хуавей в бридж с подключением его к более производительному роутеру.



  • О, нашел - zywall usg 100 там стоит... Зуксель, а не хуавей. Притом он является ядром, аж на 5 корпусов (5 зданий).
    Ладно, на это я смогу слабо повлиять - ибо наше руководство слышать на слышали о L3.
    Так, а чем States от сессий отличаются? Что это вообще такое States?
    И как можно порезать States одним правилом на много хостов? Может объединить хосты в группы, как-нибудь. Простите, я слабо шарю в pfSense. Думал поставлю шлюзом-ну пропишу таблицу ИП адресов и буду палить кто больше трафика гоняет (такое было ТЗ ранее)- а тут пошли подставы, то порты обрежут, то еще чего)



  • Добрый

    И как можно порезать States ?

    Даже и не думайте. Приложения на раб. местах могут использовать далеко ни один линк для своей работы.

    @nubik
    На чем собран пф ?
    Если на чем-то не оч. старом, то я бы сильно настоял на замене зюхеля пф-ом (или на пф + L2-свитч).
    Затем настроил бы на пф лимитер (или шейпер).
    Можно еще оставить открытыми только опред. набор портов, иначе торрентами могут уложить всё.

    Зы. Совет. Попробуйте договориться с местным "суперОдмином". Только без криков и угроз. Опишите\покажите на ютубе ему все преимущества пф. Если человек хоть немного в теме, то поймёт. Да и ему опыт будет.
    Зы2. Особенно делать акцент на гибкости, независимости от произ-ля оборудования, возможности динамически резать трафик на всех (лимитер), использовать squid, suricata.



  • @werter , отдать свой пф не получится, разные здания, разные мат ответственные и так далее. пф я специально для себя брал. на новом 1151 сокете, какой-то селерончик 4 гига, 120 гигов ссд . Надолго собирал-но с учетом новых требований (логирование и прочее) возможно вылезут косяки с перезаписью ССД.
    Менять что-то крупное админу будет тупо в ломы, многое подвязано завязано-надо другим админам говорить (а он нам и не говорит, мы по факту узнаем-нет инета, агась...созвон). Порты под торренты и все прочее вырезанны на зукселе, зачастую бывают проблемы с доступом куда-нибудь. Приходится просить супер админа открыть доступ.
    Принцип того руководства где зухель стоит-экономить, запрещать и т.д. Совсем недавно со скандалом в приемную для гостей поставили ВайФай. Притом сначала я припер свой из дома и поставил-мне погрозили пальчиком и сказали выключать когда нет гостей....А через 2 недели приперли свой-воткнули и стоит не выключенный. Маразм(



  • Нелегко вам.
    Тогда никак.
    Не получится оставить Пете вот такое кол-во линков, а Маше - чуть больше\меньше.
    Почему? Да потому что и у Пети и у Маши 100500 софтинок на PC, к-ые пользуют 100500 линков для своего "здорового" жития.

    Пишите докладную рук-ву по подключению вас к отдельному линку. Или наймите пацанов с района, к-ые объяснят этой жирной очкастой обезъяне (суперодмину) кто он по жизни (шутка)

    Зы. Насчет ви-фи. Если ваш роутер умеет Openwrt, то настоятельно рекомендую настроить общий ви-фи вот так https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guest-wlan-webinterface Иначе каждый, кто подкл-ся к вашему ви-фи прямиком попадает к вам в рабоч. сеть.
    Зы2. Или у вас так https://www.youtube.com/watch?v=UoKlKx-3FcA ?



  • @nubik said in pfSense и ограничение кол-ва сессий:

    Так, а чем States от сессий отличаются? Что это вообще такое States?
    https://itsecforu.ru/2018/01/17/в-чем-отличие-stateless-от-stateful-фаевролов/
    https://en.wikipedia.org/wiki/Stateful_firewall

    @werter said in pfSense и ограничение кол-ва сессий:

    Пишите докладную рук-ву по подключению вас к отдельному линку

    Это было бы самым правильным.



  • То есть пф это stateless фаерволл? А можно переключить на stateful - это так, для общего развития.



  • @nubik Наоборот. PF - stateful.



  • @nubik said in pfSense и ограничение кол-ва сессий:

    Порты под торренты и все прочее вырезанны на зукселе

    Торренты должны быть вырезаны на вашей стороне, что уменьшить количество сессий на вышестоящий zywall usg 100.



  • @pigbrother , тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?

    @Scodezan , порты у себя тоже порезал. С Вашим утверждением полностью согласен - нечего линию мусором занимать. Порты не панацея конечно, но хоть так.



  • @nubik said in pfSense и ограничение кол-ва сессий:

    тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?

    1. Из коробки - уже писал:
      Жмем в дашбоард в State table size на Show states. Попадаем в Diagnostics->States. Или сразу идем туда.
      В поле Filter expression вводим IP определенного хоста.

    2. Наглядно, с картинками, графиками - установкой в
      System-Package Manager-Available Packages
      пакета ntopng
      Выглядит так:
      https://www.ntop.org/products/traffic-analysis/ntop/


Log in to reply