pfSense 的零碎笔记

试用一星期了,1.2 版。

squid 的效果可能通过 lightsquid 来统计,我这边的命中率仅 1% 左右,没什么意义,就卸载了,省些内存,也减少些磁盘 IO,原先分配了 64M 内存和 256M 硬盘,可能是抠了一点。。。现在啥额外的 package 都没装,256M 的内存还剩一大半。

cron 的东东要在 /cf/conf/config.xml 中设置,重启后回自动同步至 /etc/crontab,不然直接修改后者,重启后就没了。而修改 config.xml 似乎也要通过 Web 界面 load/save 才行。

pfctl -sa 可以查看 pf 当前详细的运行状态。

traffic shaper 没搞太懂,至少简单设置后的效果不明显。

nat 方面,新增的记录可自动添加至 firewall rule,但之后修改啥的就不会自动同步了,需要手动修改,改好了别忘记 apply 一下。

要限制恶性 P2P 下载,我的理解 lan 和 wan 的 firewall rule 都要设置 advanced options 才比较好,wan 在非缺省的 rule 上设置,lan 在缺省的 rule 上设置, 有四个选项,都是针对各条 rule 的 src 端:一个是 允许同时存在的连接数,一个是单个主机允许的最多 state 数目,一个是限制新建连接的速度的,不要放太低,原先设置成 5 秒内最多 10 个新连接,然后同事大智慧优选主机一下,他的机器就似乎被 pfsense 禁掉了,大概 90 分钟才解禁,不想等的话,改掉被 ban 主机的 ip,或者重启 pfsense,官方邮件列表中问过这个,回应很少,最终也还是没搞明白。。。最后一个是 state 的超时,但不知道针对的是什么类型的连接状态,没改胡乱设置了。

有回反复重启几次机器,包括启动过程中直接按 reset 键,结果系统就进不去了,用光盘重装,似乎只需要最后一个设置步骤就可以了,第一次安装时那些分区之类的操作都不需要,然后导入之前备份的配置文件就可以了,原来下载安装的 packages 都还在。

应该是要对 pf 比较熟悉后才能把这个用好,不管了,让它跑去吧,至少不像以前 linksys wrt54g 那样容易在重负荷下自动重启或丢包了。

This entry was posted in 软件应用 and tagged . Bookmark the permalink.

2 条 pfSense 的零碎笔记 的回复

  1. david.inv说道:

    请问:Firewall-》Rules-》Advanced Options设置,pfsense1.2- Simultaneous client connection limit
    – Maximum state entries per host
    – Maximum new connections / per second
    – State Timeout in seconds

    主要为了限制p2p.请问你是怎么设置的阿?谢谢诶!

  2. 说道:

    时间比较久,记不太清楚了,从上面那段说明来看,应该主要是限制中间两项吧,第二项设置成100-200看看,第三项设置成5秒20个链接之类,具体还得你自己测试看看效果

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s