Pfsense - не блокируется потоковый трафик



  • Проблема следующая:

    Есть Pfsense 2.0.3-RELEASE, в разделе rules создаю правило определённому ip заблокировать весь трафик во вне. Всё бы ок, да вот применяется оно только к вновь инициализированным соединениям, а тот трафик, что поступал до этого момента, продолжает поступать. Например онлайн радио не оборвётся, пока его не остановить принудительно, так же и видео поток и т.д.

    Как быть? Как сделать так, чтоб после применения правила любой трафик перестал поступать?



  • Reset states не помогает?



  • @pigbrother:

    Reset states не помогает?

    Имеется ввиду Status -> filter reload?



  • @pedalkin.f:

    @pigbrother:

    Reset states не помогает?

    Имеется ввиду Status -> filter reload?

    Нет.
    Diagnostics-> States->Reset states



  • @pigbrother:

    @pedalkin.f:

    @pigbrother:

    Reset states не помогает?

    Имеется ввиду Status -> filter reload?

    Нет.
    Diagnostics-> States->Reset states

    Нашёл спасибо, но ведь он порвёт соединения у всех клиентов, с таким же успехом можно просто ребутнуть pfsense, а если мне нужно применить это только к конкретному клиенту, на ip которог я только что применил правило?



  • @pedalkin.f:

    @pigbrother:

    @pedalkin.f:

    @pigbrother:

    Reset states не помогает?

    Имеется ввиду Status -> filter reload?

    Нет.
    Diagnostics-> States->Reset states

    Нашёл спасибо, но ведь он порвёт соединения у всех клиентов, с таким же успехом можно просто ребутнуть pfsense, а если мне нужно применить это только к конкретному клиенту, на ip которог я только что применил правило?

    Вероятно - никак.
    pfSense - Stateful firewall
    http://en.wikipedia.org/wiki/Stateful_firewall

    Неоднократно жал Reset states, но жалоб от клиентов почему-то не слышал, для них все происходило вполне прозрачно.



  • @pigbrother:

    @pedalkin.f:

    @pigbrother:

    @pedalkin.f:

    @pigbrother:

    Reset states не помогает?

    Имеется ввиду Status -> filter reload?

    Нет.
    Diagnostics-> States->Reset states

    Нашёл спасибо, но ведь он порвёт соединения у всех клиентов, с таким же успехом можно просто ребутнуть pfsense, а если мне нужно применить это только к конкретному клиенту, на ip которог я только что применил правило?

    Вероятно - никак.
    pfSense - Stateful firewall
    http://en.wikipedia.org/wiki/Stateful_firewall

    Неоднократно жал Reset states, но жалоб от клиентов почему-то не слышал, для них все происходило вполне прозрачно.

    А галочку Firewall state table при этом ставили? И что изменится если без неё нажать?

    У вас в сети возможно нет VPN клиентов, а у меня они все поотваливаются мне так кажется.



  • @pedalkin.f:

    @pigbrother:

    @pedalkin.f:

    @pigbrother:

    @pedalkin.f:

    @pigbrother:

    Reset states не помогает?

    Имеется ввиду Status -> filter reload?

    Нет.
    Diagnostics-> States->Reset states

    Нашёл спасибо, но ведь он порвёт соединения у всех клиентов, с таким же успехом можно просто ребутнуть pfsense, а если мне нужно применить это только к конкретному клиенту, на ip которог я только что применил правило?

    Вероятно - никак.
    pfSense - Stateful firewall
    http://en.wikipedia.org/wiki/Stateful_firewall

    Неоднократно жал Reset states, но жалоб от клиентов почему-то не слышал, для них все происходило вполне прозрачно.

    А галочку Firewall state table при этом ставили? И что изменится если без неё нажать?

    У вас в сети возможно нет VPN клиентов, а у меня они все поотваливаются мне так кажется.

    Если честно - не помню.

    Вот что пишет официальная документация:

    To clear all active connection states, go to Diagnostics > States, and click the Reset States tab.

    As a safety precaution, you must also check the Firewall state table box, and click the Reset button.

    Before proceeding, be sure to read the warning text, reproduced below:

    Resetting the state tables will remove all entries from the corresponding tables. This means that all open connections will be broken and will have to be re-established. This may be necessary after making substantial changes to the firewall and/or NAT rules, especially if there are IP protocol mappings (e.g. for PPTP or IPv6) with open connections.

    The firewall will normally leave the state tables intact when changing rules.

    Именно поэтому, вероятно, ваш запрет не срабатывет

    NOTE: If you reset the firewall state table, the browser session may appear to be hung after clicking "Reset". Simply refresh the page to continue.
    http://doc.pfsense.org/index.php/Reset_States



  • По сему выходит, что для того чтоб применить правило на одного, нужно обломать весь офис.



  • @pedalkin.f:

    По сему выходит, что для того чтоб применить правило на одного, нужно обломать весь офис.

    Ну, теоретически, может помочь физическое отключение\перезагрузка компьютера, которому назначено правило.





  • @dvserg:

    Таки да.
    Спасибо.



  • @dvserg:

    Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.



  • @pedalkin.f:

    @dvserg:

    Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.


    Ведь делал же такое при настройке VoIp шлюза - но забыл.



  • @pigbrother:

    @pedalkin.f:

    @dvserg:

    Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.


    Ведь делал же такое при настройке VoIp шлюза - но забыл.

    Вариант конечно, спасибо за совет, но я так и не понял, почему нельзя закрыть все соединения по ip, а нужно крестиком закрывать 100 или больше стейтов, возможно в следующем релизе появится возможность =)



  • http://www.opennet.ru/base/net/pf_optimization.txt.html

    Фильтры "Stateful"

    Работа pf, главным образом, состоит из двух операций: поиск
      соответствия в наборе правил и поиск в таблице состояний.
      Для каждого пакета pf сперва выполняет поиск по таблице состояний и
      если соответствующая запись будет найдена, то пакет немедленно
      передается. В противном случае, начинается поиск подходящего правила,
      которым определяется, блокировать ли или передать пакет.

    Поиск по таблице значительно менее затратен, чем поиск по набору
      правил. Поскольку набор правил обычно просматривается снизу доверху,
      то стоимость поиска растет примерно пропорционально количеству правил.
      Помимо этого, в одном правиле могут сравниваться различные параметры
      пакета. Таблица состояния представляет собой древовидную структуру и
      поэтому стоимость обработки увеличивается логарифмически с увеличением
      числа записей.

    Правила применяются для вновь создаваемых подключений не затрагивая уже установленные.



  • @pedalkin.f:

    @pigbrother:

    @pedalkin.f:

    @dvserg:

    Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.


    Ведь делал же такое при настройке VoIp шлюза - но забыл.

    Вариант конечно, спасибо за совет, но я так и не понял, почему нельзя закрыть все соединения по ip, а нужно крестиком закрывать 100 или больше стейтов, возможно в следующем релизе появится возможность =)

    You can view a list of active Source Tracking ("sticky") states at Diagnostics > States on the Source Tracking tab.

    This will list all currently active Source Tracking states, with their source/gateway pairing, number of active states, number of active connections, and the rate at which connections are being made.

    The view can be filtered by typing some text into the box and pressing the Filter button.

    Individual states can be removed by clicking the X at the end of the line. All states can be reset by using the Reset States tab.

    This tab may only appear if you have "Sticky" enabled under System > Advanced on the Miscellaneous tab.

    Если разрешены sticky connections, то отфильтровав в Source Tracking нужный IP все его states можно (?) убить одной кнопкой.
    У меня мультиван, sticky connections включены и это вроде как работает.



  • @pigbrother:

    @pedalkin.f:

    @pigbrother:

    @pedalkin.f:

    @dvserg:

    Я думал об этом варианте, но почему то решил, что он просто удалит строки как лог и не более.


    Ведь делал же такое при настройке VoIp шлюза - но забыл.

    Вариант конечно, спасибо за совет, но я так и не понял, почему нельзя закрыть все соединения по ip, а нужно крестиком закрывать 100 или больше стейтов, возможно в следующем релизе появится возможность =)

    You can view a list of active Source Tracking ("sticky") states at Diagnostics > States on the Source Tracking tab.

    This will list all currently active Source Tracking states, with their source/gateway pairing, number of active states, number of active connections, and the rate at which connections are being made.

    The view can be filtered by typing some text into the box and pressing the Filter button.

    Individual states can be removed by clicking the X at the end of the line. All states can be reset by using the Reset States tab.

    This tab may only appear if you have "Sticky" enabled under System > Advanced on the Miscellaneous tab.

    Если разрешены sticky connections, то отфильтровав в Source Tracking нужный IP все его states можно (?) убить одной кнопкой.
    У меня мультиван, sticky connections включены и это вроде как работает.

    Жаль, но без мультивана это неработоспособно


Log in to reply