Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense и ограничение кол-ва сессий

    Scheduled Pinned Locked Moved Russian
    12 Posts 4 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nubik
      last edited by

      Суть проблемы: мой шлюз пфсенс стоит за шлюзом Хуавей, который не в моем владении. И на данном шлюзе были лаги, так как он не вытягивал трафик. Админ решил резануть кол-во сессий с ИП моего шлюза.
      На данный момент стоит 1500 на 78 хостов. Это полный абзац-почта уходит с раза 4го. Но надо как-то ему аргументированно ответить, мол братан так вообще не возможно.
      Правильно ли я понимаю что пфсенс в разделе файрвол-правила как раз пишет сколько сессий открыто в данный момент и какой трафик прошел?
      А то у меня с одного компа только 47 сессий шпарит. Путем математических вычеслений получаем 78*50=3900, тоесть мне как минимум в 2 раза зарезали полосу..
      Может быть какие-нибудь советы, рекомендации по этому поводу еще будут?

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @nubik
        last edited by pigbrother

        @nubik said in pfSense и ограничение кол-ва сессий:

        стоит за шлюзом Хуавей, который не в моем владении. И на данном шлюзе были лаги, так как он не вытягивал трафик

        Если это xPON (или вообще ADSL) от Хуавей - ожидать от бытового устройства иного было бы странно.

        @nubik said in pfSense и ограничение кол-ва сессий:

        Правильно ли я понимаю что пфсенс в разделе файрвол-правила как раз пишет сколько сессий открыто в данный момент и какой трафик прошел?

        В общем да, только это не сессии, а states. Общее их число видно в дашбоард как State table size, детально, с фильтрами по IP\протоколам и т.д. - в Diagnostics->States

        @nubik said in pfSense и ограничение кол-ва сессий:

        Может быть какие-нибудь советы, рекомендации по этому поводу еще будут?

        Кроме как уменьшать количество states, играть с State Timeouts (и, может быть, ширину канала) с вашей стороны - пожалуй, ничего.

        Правильнее, конечно, уговорить перевести Хуавей в бридж с подключением его к более производительному роутеру.

        1 Reply Last reply Reply Quote 0
        • N
          nubik
          last edited by

          О, нашел - zywall usg 100 там стоит... Зуксель, а не хуавей. Притом он является ядром, аж на 5 корпусов (5 зданий).
          Ладно, на это я смогу слабо повлиять - ибо наше руководство слышать на слышали о L3.
          Так, а чем States от сессий отличаются? Что это вообще такое States?
          И как можно порезать States одним правилом на много хостов? Может объединить хосты в группы, как-нибудь. Простите, я слабо шарю в pfSense. Думал поставлю шлюзом-ну пропишу таблицу ИП адресов и буду палить кто больше трафика гоняет (такое было ТЗ ранее)- а тут пошли подставы, то порты обрежут, то еще чего)

          P 1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by werter

            Добрый

            И как можно порезать States ?

            Даже и не думайте. Приложения на раб. местах могут использовать далеко ни один линк для своей работы.

            @nubik
            На чем собран пф ?
            Если на чем-то не оч. старом, то я бы сильно настоял на замене зюхеля пф-ом (или на пф + L2-свитч).
            Затем настроил бы на пф лимитер (или шейпер).
            Можно еще оставить открытыми только опред. набор портов, иначе торрентами могут уложить всё.

            Зы. Совет. Попробуйте договориться с местным "суперОдмином". Только без криков и угроз. Опишите\покажите на ютубе ему все преимущества пф. Если человек хоть немного в теме, то поймёт. Да и ему опыт будет.
            Зы2. Особенно делать акцент на гибкости, независимости от произ-ля оборудования, возможности динамически резать трафик на всех (лимитер), использовать squid, suricata.

            N 1 Reply Last reply Reply Quote 0
            • N
              nubik @werter
              last edited by

              @werter , отдать свой пф не получится, разные здания, разные мат ответственные и так далее. пф я специально для себя брал. на новом 1151 сокете, какой-то селерончик 4 гига, 120 гигов ссд . Надолго собирал-но с учетом новых требований (логирование и прочее) возможно вылезут косяки с перезаписью ССД.
              Менять что-то крупное админу будет тупо в ломы, многое подвязано завязано-надо другим админам говорить (а он нам и не говорит, мы по факту узнаем-нет инета, агась...созвон). Порты под торренты и все прочее вырезанны на зукселе, зачастую бывают проблемы с доступом куда-нибудь. Приходится просить супер админа открыть доступ.
              Принцип того руководства где зухель стоит-экономить, запрещать и т.д. Совсем недавно со скандалом в приемную для гостей поставили ВайФай. Притом сначала я припер свой из дома и поставил-мне погрозили пальчиком и сказали выключать когда нет гостей....А через 2 недели приперли свой-воткнули и стоит не выключенный. Маразм(

              S 1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by werter

                Нелегко вам.
                Тогда никак.
                Не получится оставить Пете вот такое кол-во линков, а Маше - чуть больше\меньше.
                Почему? Да потому что и у Пети и у Маши 100500 софтинок на PC, к-ые пользуют 100500 линков для своего "здорового" жития.

                Пишите докладную рук-ву по подключению вас к отдельному линку. Или наймите пацанов с района, к-ые объяснят этой жирной очкастой обезъяне (суперодмину) кто он по жизни (шутка)

                Зы. Насчет ви-фи. Если ваш роутер умеет Openwrt, то настоятельно рекомендую настроить общий ви-фи вот так https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guest-wlan-webinterface Иначе каждый, кто подкл-ся к вашему ви-фи прямиком попадает к вам в рабоч. сеть.
                Зы2. Или у вас так https://www.youtube.com/watch?v=UoKlKx-3FcA ?

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @nubik
                  last edited by

                  @nubik said in pfSense и ограничение кол-ва сессий:

                  Так, а чем States от сессий отличаются? Что это вообще такое States?
                  https://itsecforu.ru/2018/01/17/%D0%B2-%D1%87%D0%B5%D0%BC-%D0%BE%D1%82%D0%BB%D0%B8%D1%87%D0%B8%D0%B5-stateless-%D0%BE%D1%82-stateful-%D1%84%D0%B0%D0%B5%D0%B2%D1%80%D0%BE%D0%BB%D0%BE%D0%B2/
                  https://en.wikipedia.org/wiki/Stateful_firewall

                  @werter said in pfSense и ограничение кол-ва сессий:

                  Пишите докладную рук-ву по подключению вас к отдельному линку

                  Это было бы самым правильным.

                  1 Reply Last reply Reply Quote 0
                  • N
                    nubik
                    last edited by

                    То есть пф это stateless фаерволл? А можно переключить на stateful - это так, для общего развития.

                    P 1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother @nubik
                      last edited by pigbrother

                      @nubik Наоборот. PF - stateful.

                      N 1 Reply Last reply Reply Quote 0
                      • S
                        Scodezan @nubik
                        last edited by

                        @nubik said in pfSense и ограничение кол-ва сессий:

                        Порты под торренты и все прочее вырезанны на зукселе

                        Торренты должны быть вырезаны на вашей стороне, что уменьшить количество сессий на вышестоящий zywall usg 100.

                        1 Reply Last reply Reply Quote 0
                        • N
                          nubik @pigbrother
                          last edited by nubik

                          @pigbrother , тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?

                          @Scodezan , порты у себя тоже порезал. С Вашим утверждением полностью согласен - нечего линию мусором занимать. Порты не панацея конечно, но хоть так.

                          P 1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother @nubik
                            last edited by pigbrother

                            @nubik said in pfSense и ограничение кол-ва сессий:

                            тогда каким образом можно посмотреть сессии с определенного хоста? пакет какой-нибудь доустановить ?

                            1. Из коробки - уже писал:
                              Жмем в дашбоард в State table size на Show states. Попадаем в Diagnostics->States. Или сразу идем туда.
                              В поле Filter expression вводим IP определенного хоста.

                            2. Наглядно, с картинками, графиками - установкой в
                              System-Package Manager-Available Packages
                              пакета ntopng
                              Выглядит так:
                              https://www.ntop.org/products/traffic-analysis/ntop/

                            1 Reply Last reply Reply Quote 1
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.