настройка PFsense, 2 wan, балансировка, приоретет. И ещ&#



  • Я с pfsense первый раз столкнулся, незнаю, что и как делается. Маны скурил, подробней опишите как файрволом закрыть? Билинг к слову сказал, так как опыт юзания разных систем есть, через него знаю как выборочно отключать машины от сети.
    Спасибо



  • @Song:

    Я с pfsense первый раз столкнулся, незнаю, что и как делается. Маны скурил, подробней опишите как файрволом закрыть? Билинг к слову сказал, так как опыт юзания разных систем есть, через него знаю как выборочно отключать машины от сети.
    Спасибо

    ??? Firewall Rules > LAN > создать запрещающие правила для блокируемых компьютеров (указать их IP). Правила поместить вверху списка.



  • типо такого?




  • удобней в Aliases неугодных перечислить и одним правилом отключать



  • в Aliases делать так:
    Type        - Network(s)
    Network(s) - 192.168.1.10-192.168.1.254 (CIDR 32)

    Когда так делаю, нажимаю слхранить, вылазит следующие:




  • у меня в сенс 1.23 там немного по другому, но название у алиаса (например 01a) написать надо ;)



  • Название у алиса есть…. Я непонял почему, когда я указываю диапозон от 192.168.1.10 до 192.168.1.254 у меня в итоге получается что на скрыне показано????



  • @Song:

    Название у алиса есть…. Я непонял почему, когда я указываю диапозон от 192.168.1.10 до 192.168.1.254 у меня в итоге получается что на скрыне показано????

    Разворачивает в подсети, чтобы минимизировать количество элементов.



  • Вопщем это нормально, так и должно быть? А если мне нужно будет блокировать начиная не с 192.168.1.10 а с 192.168.1.15, просто подправить первую подсеть с 192.168.1.10 на 192.168.1.15 так?
    PS и что означает CIDR??



  • @Song:

    Вопщем это нормально, так и должно быть? А если мне нужно будет блокировать начиная не с 192.168.1.10 а с 192.168.1.15, просто подправить первую подсеть с 192.168.1.10 на 192.168.1.15 так?
    PS и что означает CIDR??

    А что мешает завести этот диапазон заново, или добавить несколько исключений правилами?

    Google CIDR: https://www.google.ru/search?q=CIDR&aq=f&oq=CIDR&aqs=chrome.0.57j5j0l2j62l2.4529&sugexp=chrome,mod=9&sourceid=chrome&ie=UTF-8



  • Спасибо, все сделал. Подскажите теперь следующие, как ограничить скорость торентов(именно только торентов)? Не с одного компьютера, а в общем с локалки.



  • Ищите по слову "шейпер" (shaper).
    Его настройку парами абзацев, да то там (!), и страницей не описать  ::)



  • искал я уже много, 3й месяц не могу понять как настроить этот шейпер… А нужно всего лишь, отшейпить именно торент трафик в трубу 1 Мбит. А весь остальной трафик как сейчас раздается без шейпера так и пусть раздается, загружается всем поровну. Только вот торрент если кто ни буть запускает, забивает весь канал... беда прям незнаю что и делать. Может посоветуете тогда другой программный роутер, где шейпер попроще?
    Хелп плиз....



  • Всем доброго дня. Подскажите с такой проблемой. На одной машине с виндовс 8 не принимаются автоматические настройки сети(IP, маска, шлюз, DNS. Бывает что ип и маска принимаются, а шлюз нет. Если вводишь вручную все, то работает. Или несколько разы вк выкл интерфей, принимает настройки, после перезагрузки ноутбука, опять не принимает. Свять с pfsense по вайфаю, домовая точка доступа на 2 ноутбука.



  • @Song:

    Всем доброго дня. Подскажите с такой проблемой. На одной машине с виндовс 8 не принимаются автоматические настройки сети(IP, маска, шлюз, DNS. Бывает что ип и маска принимаются, а шлюз нет. Если вводишь вручную все, то работает. Или несколько разы вк выкл интерфей, принимает настройки, после перезагрузки ноутбука, опять не принимает. Свять с pfsense по вайфаю, домовая точка доступа на 2 ноутбука.

    Если на одной машине такое, то привяжите IP статически, а на сервере DHCP закрепите по mac что бы не выдал этот ip другому компу.



  • Дело в том, что у всех машин привязаны статические IP к MACам. К этой точке доступа подключены два ноута, с Win7 и Win8, на вин8 не принимает адрес, шлюз, маску и dns. Решил таким, образом, перевел точку доступа в активный режим, и включил на ней свой DHCP. От точки доступа, принимает настройки и все работает. Потом попробовал назад все сделать, и все работает, в чем была проблема так и не разобрался :(

    По шейперу, инструкцию с примером кто нибуть подкиет? нужно паре машин скорость ограничить, а остальным что бы равномерно распределялся канал.



  • @Song:

    По шейперу, инструкцию с примером кто нибуть подкиет? нужно паре машин скорость ограничить, а остальным что бы равномерно распределялся канал.

    Ищите по слову Limiter



  • Спасибо с этим уже разобрался. В вот с торрентами не получается, пробовал L7 фильтр, не работает.
    вот скрины, может что то не так делаю?

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?
    ps2 если в одном алисе несколько машин и лимитер 3Мбит/с, то эти 3Мбита делятся между этими машинами или у каждой максимально достижимая скорость 3Мбита?










  • @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.



  • да да да )))) а настроил шейпер)) торенты нервно курят в стороне при веб серфе и запуске онлайн видео-аудио))) Всем спасибо за внимание)))



  • @dvserg:

    @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.

    А как бы так сделать(как на микротике), что бы все поровну доставалось. Т.е. если две машины активные, то по половине от ширины аплинка, а если 10, то по 1/10 ширины. Было бы здорово замутить динамический шейпер.



  • @Song:

    @dvserg:

    @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.

    А как бы так сделать(как на микротике), что бы все поровну доставалось. Т.е. если две машины активные, то по половине от ширины аплинка, а если 10, то по 1/10 ширины. Было бы здорово замутить динамический шейпер.

    Это лимитером можно сделать в разделе Шейпера. Поищите - совсем недавно обсуждение было.



  • @Song:

    да да да )))) а настроил шейпер)) торенты нервно курят в стороне при веб серфе и запуске онлайн видео-аудио))) Всем спасибо за внимание)))

    А можно скриншот настроек лиметера, который используется в Layer7?



  • @pigbrother:

    @Song:

    да да да )))) а настроил шейпер)) торенты нервно курят в стороне при веб серфе и запуске онлайн видео-аудио))) Всем спасибо за внимание)))

    А можно скриншот настроек лиметера, который используется в Layer7?








  • У меня, почему то после создания очередей шейпера, перестали работать правила с лимитером. Почему?



  • Спасибо.
    1MbitOUT - где задается\настраивается?



  • @pigbrother:

    Спасибо.
    1MbitOUT - где задается\настраивается?

    В лимитере, IN/OUT это я называл для удобства восприятия. Дело в том что один лимитер нельзя поставить а на вход и на выход, поэтому в правилах где ограничение входящей и исходящей одинаковое, приходится два лиметера одинаковых делать с разными названиями. НО, почему то, правила с лимитерами перестали работать посте создания очередей шейпера по приоритетам трафика. НЕ МОГУ ПОНЯТЬ ПОЧЕМУ.



  • какой трафик попадает в очередь под названием  qLink?



  • правила с лимитерами перестали работать посте создания очередей шейпера по приоритетам трафика. НЕ МОГУ ПОНЯТЬ ПОЧЕМУ. Может быть кто нибуть знает?



  • @dvserg:

    @Song:

    @dvserg:

    @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.

    А как бы так сделать(как на микротике), что бы все поровну доставалось. Т.е. если две машины активные, то по половине от ширины аплинка, а если 10, то по 1/10 ширины. Было бы здорово замутить динамический шейпер.

    Это лимитером можно сделать в разделе Шейпера. Поищите - совсем недавно обсуждение было.

    Из найденного на форуме, я сделал вывод, для того что бы реализовать динамическое распределение полосы пропускания, необходимо в правиле с лиметером указать адреса всех машин или подсеть, тогда скорость будет делится равномерно между активными.
    Правильно я понял?



  • по графикам кто ни буть что ни буть скажет? почему пинг так скаканул? максимальная загрузка проца 3%, оперативки 40%, диска 1%. канал 4Мбита.






  • РЕБЯТА хелп ми срочно!!! Уже неделю наблюдаю следующую картину, недогружается внешний канал, после RESET STATES, становится все ОК на день. Проверяю один раз в день вечером с 6 до 9. Один раз заметил что State table size = 11000(или 12000, точно не помню) из 22000. Как лечить? нид хэлп ми плиз!!

    ps по предположению, проблема появилась после создания очередей шейпера и правил с лимитером.



  • Попробуйте увеличить макс количество стейтс и уменьшить их время жизни.



  • ок. Где это делается?) и на сколько увеличивать кол. стейтс и уменьшать время?



  • Каким образом в PFsense можно обойти правила фаервола?
    Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
    Что это за фигня?



  • @Song:

    Каким образом в PFsense можно обойти правила фаервола?
    Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
    Что это за фигня?

    Включите логирование и ищите правило.



  • Если установлен CP, то особо умные могут поднимать ppp сессии, которые не будут логироваться.
    Кстати, в правилах Protocol any подразумевает только протоколы L3 ?



  • Судя по всему да, L3.
    Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?



  • @Song:

    Судя по всему да, L3.
    Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?

    Ну так пользовательские фаерволлы еще никто не отменял. Включая и стандартный. Вот они ICMP и блочат.



  • Я всегда при подключении машины к локалке, вырубаю фаерволы. Хотя может и сама включила хз…


Log in to reply