Фаервол, правила и разрыв соединений



  • Здравствуйте всем!
    Платформа 2.1, на 2.0.2 пока не смотрел.
    Создаю правило разрешающее ping на внешнем интерфейсе, и он сразу начинает работать, с этим пока всё хорошо.
    Выключаю это правило, но пинги продолжают идти (с учетом того что пинговал постоянно этот адрес ). Правило закрывается, если нет постоянного соединения в течении примерно 13 секунд.

    Вопрос, как разорвать соединение если правило уже выключено или запрещено? Перезагрузку сервера не предлагать.



  • @intronet:

    Здравствуйте всем!
    Платформа 2.1, на 2.0.2 пока не смотрел.
    Создаю правило разрешающее ping на внешнем интерфейсе, и он сразу начинает работать, с этим пока всё хорошо.
    Выключаю это правило, но пинги продолжают идти (с учетом того что пинговал постоянно этот адрес ). Правило закрывается, если нет постоянного соединения в течении примерно 13 секунд.
    Вопрос, как разорвать соединение если правило уже выключено или запрещено? Перезагрузку сервера не предлагать.

    удали это правило из states, там строка для поиска есть



  • @the4:

    удали это правило из states, там строка для поиска есть

    Не помогло.
    Нужно исходить из того что соединений ну допустим 300(постоянно) и например соединения идут веб сайт, музыкальный поток, и мне его предположим нужно закрыть на ремонт, что я делаю-выключаю разрешающее правило и система должна отбросить все соединения относящиеся к этому правилу, банально отрабатывать правила по умолчанию, т.е. что не разрешено, то запрещено.



  • @intronet:

    @the4:

    удали это правило из states, там строка для поиска есть

    Не помогло.
    Нужно исходить из того что соединений ну допустим 300(постоянно) и например соединения идут веб сайт, музыкальный поток, и мне его предположим нужно закрыть на ремонт, что я делаю-выключаю разрешающее правило и система должна отбросить все соединения относящиеся к этому правилу, банально отрабатывать правила по умолчанию, т.е. что не разрешено, то запрещено.

    Запрещаются все новые соединения, старые продолжают работать до разрыва. Для их сброса нужно сбросить таблицу состояний, лучше полностью. Это не баг, а фишка системы.



  • @dvserg:

    Запрещаются все новые соединения, старые продолжают работать до разрыва. Для их сброса нужно сбросить таблицу состояний, лучше полностью. Это не баг, а фишка системы.

    В общем получается только со сбросом всех соединений, что равносильно перезагрузке системы. Но теперь ясно как сбросить связи
    К чему всё это, допустим идет атака на внешний интерфейс и одновременно с этим производится оплата через банк-клиент или передается какая другая не маловажная информация изнутри сети, разрывать соединение естественно нельзя, правило не будет отрабатывать на уже установленные соединения, вот как тогда быть в такой ситуации?



  • Вот описание http://www.openbsd.org/faq/pf/ru/filter.html#state
    Не нужно драматизировать и пытаться вручную управлять системой. Положитесь на ум людей, решивших подобные вопросы за нас с Вами. К тому-же для защиты от "атак" в системе есть много хороших опций.



  • @dvserg:

    Вот описание http://www.openbsd.org/faq/pf/ru/filter.html#state
    Не нужно драматизировать и пытаться вручную управлять системой. Положитесь на ум людей, решивших подобные вопросы за нас с Вами. К тому-же для защиты от "атак" в системе есть много хороших опций.

    И всё таки, я могу через веб интерфейс разорвать отдельно-взятое соединение?



  • @intronet:

    @dvserg:

    Вот описание http://www.openbsd.org/faq/pf/ru/filter.html#state
    Не нужно драматизировать и пытаться вручную управлять системой. Положитесь на ум людей, решивших подобные вопросы за нас с Вами. К тому-же для защиты от "атак" в системе есть много хороших опций.

    И всё таки, я могу через веб интерфейс разорвать отдельно-взятое соединение?

    Конечно. В таблице States справа кнопка есть против каждого соединения. Как сказано выше - в фильтре задаете параметр и фильтруете все подходящие.



  • @dvserg:

    Конечно. В таблице States справа кнопка есть против каждого соединения.

    Да вот что-то не получается разорвать ping. Может потому что бета версия.



  • @intronet:

    @dvserg:

    Конечно. В таблице States справа кнопка есть против каждого соединения.

    Да вот что-то не получается разорвать ping. Может потому что бета версия.

    Что и откуда пингуете?



  • @dvserg:

    Что и откуда пингуете?

    А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.



  • @intronet:

    @dvserg:

    Что и откуда пингуете?

    А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.

    Важно. Если пингуете с самого pfSense, то на нем все исходящие разрешены. Рулятся только входящие.



  • @dvserg:

    @intronet:

    @dvserg:

    Что и откуда пингуете?

    А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.

    Важно. Если пингуете с самого pfSense, то на нем все исходящие разрешены. Рулятся только входящие.

    Я знаю.


Log in to reply