Проблемы с внутренней сеткой
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
-
Сбросил State - не помогло
-
попробую,логи фаера через system logs не очень подробные,можно ли еще где-то посмотреть?Попробую сбросить, текущий state 5000
МОжно в правилах файера поставить галку log, тогда там будет много всего. Инета нет у всех или только у некоторых компов?, что говорят в этотм момент пинги шлюзов, днс и трасерты?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
-
только у некоторых,внутренняя сетка работает без проблем,только на внешнюю не ходит,по крайней мере днс не получает даже,остальное не пробовал еще.Где эти логи потом смотреть?
Прописать статикой и пинговать. В разделе system log - firewall
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем
-
Проверил - пинги наружу не идут,трасировки тоже.внутри сети все работает без проблем
snort установлен?
Какая сейчас конфигурация файервола? Какие значения в кол-ве подключений? Поставьте галку лог напротив всех правил.Читайте system log там тоже может быть что-то, относящееся к проблеме.
Конфигурация железа какая, проц, кол-во оперативки? Какие установлены пакеты?
wan и lan не в одной подсети лежат?
P.S. Сам по себе pfsense не блокирует выборочно кого-то.
-
Snort не стоит - а стоит поставить?
Вайервол лан:lan net to lan net-без ограничений,
lan let to wan address:
Simultaneous client connection limit - 12000
Maximum state entries per host - 1000
Maximum new connections / per second - 50/1
State Timeout in seconds - 5в систем логах никаких левых сообщений,
Пакеты:PHPService,pfflowd,phpSysInfo
Машина:Intel(R) Pentium(R) 4 CPU 2.40GHz,512 оперативки,
загрузка проца - 3-10%При установку squid поднимается до 50
На wan белые адреса, Lan 192.168.1.1
-
Правило лан то лан не нужно (если это не нужно для какого-то хитрого действия).
Snort - может и стоит поставить, но в соседней ветке тема была, что он всю локалку отрубать начинал.
Оперативки, для 60 пользователей, мне кажется, маловато.
Пока у вас одно правило:
any_protocol lan_net any_port allow (т.е. дефолтное) вы не найдёте кто валит канал.
Мой совет, настройте нормальные правила. Если кому то крайне нужны ВСЕ порты, делайте для этого одного своё разрешаеющее всё и вся правило.Когда инет пропадает на странице system нажмите show states может прояснит что-либо. И саму таблицу то увеличили? по дефолту там 10 тысяч, в вашем случае это может быть мало.
-
Нет States не увеличивал потому что больше 5000 не поднимался.
Да,если других идей нет то придется писать правила по портам(((