forum.opennet.ru - "PF-filter, NAT и FreeBSD, вопрос." (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"PF-filter, NAT и FreeBSD, вопрос."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"PF-filter, NAT и FreeBSD, вопрос."
Сообщение от boboms (ok) on 17-Авг-05, 18:26 (MSK)
Народ, помогите плз., перехожу с Linuxa на FreeBSD -> делаю шлюз и завис! Имеется: FreeBSD 5.4 pf-filter fxp0-внешяя сеть (от прова) rl0-внутренняя сеть Когда делаю так в pf.conf: lan_net = "192.168.0.0/24" int_if = "rl0" ext_if1 = "fxp0" ext_gw1 = "192.168.11.101" scrub in all nat on $ext_if1 from $lan_net to any -> ($ext_if1) block in from any to any block out from any to any pass in quick on lo0 all pass out quick on lo0 all block out on $ext_if1 all pass out on $ext_if1 inet proto tcp all flags S/SA modulate state pass out on $ext_if1 inet proto {udp, icmp} all keep state pass out on $int_if from any to $lan_net pass in quick on $int_if from $lan_net to $int_if Не пингуется инет из внутренней сети. Когда делаю просто pf.conf: lan_net = "192.168.0.0/24" int_if = "rl0" ext_if1 = "fxp0" ext_gw1 = "192.168.11.101" scrub in all nat on $ext_if1 from $lan_net to any -> ($ext_if1) pass in from any to any Все пингуетсяи работает! Подскажите, плз., где я туплю!!!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

PF-filter, NAT и FreeBSD, вопрос., Andrey, 18:38 , 17-Авг-05, (1)
- PF-filter, NAT и FreeBSD, вопрос., boboms, 19:08 , 17-Авг-05, (2)
  - PF-filter, NAT и FreeBSD, вопрос., Andrey, 08:54 , 18-Авг-05, (3)
    - PF-filter, NAT и FreeBSD, вопрос., boboms, 12:47 , 18-Авг-05, (4)
      - PF-filter, NAT и FreeBSD, вопрос., co6aka, 15:31 , 18-Авг-05, (5)
        
        PF-filter, NAT и FreeBSD, вопрос., boboms, 17:32 , 18-Авг-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "PF-filter, NAT и FreeBSD, вопрос."

Сообщение от Andrey (??) on 17-Авг-05, 18:38  (MSK)

>Народ, помогите плз.,
>перехожу с Linuxa на FreeBSD ->
>делаю шлюз и завис!
>
>Имеется:
>FreeBSD 5.4
>pf-filter
>fxp0-внешяя сеть (от прова)
>rl0-внутренняя сеть
>
>Когда делаю так в pf.conf:
>lan_net = "192.168.0.0/24"
>int_if = "rl0"
>ext_if1 = "fxp0"
>ext_gw1 = "192.168.11.101"
>
>scrub in all
>
>nat on $ext_if1 from $lan_net to any -> ($ext_if1)
>
>block in from any to any
Данное правило запрещает принимать все пакеты если нету других правил.
>block out from any to any
>
>pass in quick on lo0 all
>pass out quick on lo0 all
>
>block out on $ext_if1 all
>pass out on $ext_if1 inet proto tcp all flags S/SA modulate state
>
>pass out on $ext_if1 inet proto {udp, icmp} all keep state
>
>pass out on $int_if from any to $lan_net
>pass in quick on $int_if from $lan_net to $int_if
Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней сети. Если его развернуть то получается что оно разрешает принимать только пакеты адресованые самому хосту, но никак не всему интернету.
>
>Не пингуется инет из внутренней сети.
>
>Когда делаю просто pf.conf:
>lan_net = "192.168.0.0/24"
>int_if = "rl0"
>ext_if1 = "fxp0"
>ext_gw1 = "192.168.11.101"
>
>scrub in all
>
>nat on $ext_if1 from $lan_net to any -> ($ext_if1)
>
>pass in from any to any
>
>Все пингуетсяи работает!
>
>Подскажите, плз., где я туплю!!!
Надо создать правило которое разрешить узлам из внутренней сети устанавливать соединения с компьютерами из интернета ...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "PF-filter, NAT и FreeBSD, вопрос."

Сообщение от boboms (ok) on 17-Авг-05, 19:08  (MSK)

>>pass out on $int_if from any to $lan_net
>>pass in quick on $int_if from $lan_net to $int_if
>
>Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней
>сети. Если его развернуть то получается что оно разрешает принимать только
>пакеты адресованые самому хосту, но никак не всему интернету.
>
Вот спасибо большое!
Т.е. другими словами,
pass in quick on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net
И заработало!
Но такое впечатление, что все открыто! Посоветуй, плз., какой-нибудь типовой конфиг, где все закрыто из вне, кроме 80 и 21.
Огромное спасибо заранее!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "PF-filter, NAT и FreeBSD, вопрос."

Сообщение от Andrey (??) on 18-Авг-05, 08:54  (MSK)

>
>>>pass out on $int_if from any to $lan_net
>>>pass in quick on $int_if from $lan_net to $int_if
>>
>>Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней
>>сети. Если его развернуть то получается что оно разрешает принимать только
>>пакеты адресованые самому хосту, но никак не всему интернету.
>>
>Вот спасибо большое!
>
>Т.е. другими словами,
>
>pass in quick on $int_if from $lan_net to any
>pass out on $int_if from any to $lan_net
>
>И заработало!
>
>Но такое впечатление, что все открыто! Посоветуй, плз., какой-нибудь типовой конфиг, где
>все закрыто из вне, кроме 80 и 21.
Откуда такое впечатление?
Правилом
block in from any to any
запрещяет весь входящий трафик, потом трафик на внутреннем интерфейсе разрешается правилами выше. Но разрешающих правил для внешнего интерфейса я не вижу. Правильнее сказать изнутри действительно всё открыто, а вот из вне всё скорее закрыто.

>
>Огромное спасибо заранее!
>
>
>

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "PF-filter, NAT и FreeBSD, вопрос."

Сообщение от boboms (ok) on 18-Авг-05, 12:47  (MSK)

>
>Откуда такое впечатление?
>
>Правилом
>block in from any to any
>запрещяет весь входящий трафик, потом трафик на внутреннем интерфейсе разрешается правилами выше.
>Но разрешающих правил для внешнего интерфейса я не вижу. Правильнее сказать
>изнутри действительно всё открыто, а вот из вне всё скорее закрыто.
Спасибо за пояснения, я пока с pf правилами еще не разобрался.
Подскажи, плз., как открыть снаружи только один порт, напр. 80или 21.
Спасибо!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "PF-filter, NAT и FreeBSD, вопрос."

Сообщение от co6aka (??) on 18-Авг-05, 15:31  (MSK)

$ext_if="внешний интерфейс"
$tcp_services="{ 53, 80, твои порты}"
pass in on $ext_if inet proto tcp from any to $ext_if port $tcp_services flags S/SA modulate state
pass in on $ext_if inet proto udp from any to $ext_if domain keep state

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "PF-filter, NAT и FreeBSD, вопрос."

Сообщение от boboms (ok) on 18-Авг-05, 17:32  (MSK)

>$ext_if="внешний интерфейс"
>$tcp_services="{ 53, 80, твои порты}"
>
>pass in on $ext_if inet proto tcp from any to $ext_if port
>$tcp_services flags S/SA modulate state
>pass in on $ext_if inet proto udp from any to $ext_if domain
>keep state
Всё! Огромное спасибо! На этом успокоюсь! :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PF-filter, NAT и FreeBSD, вопрос."
Сообщение от Andrey (??) on 17-Авг-05, 18:38 (MSK)
>Народ, помогите плз., >перехожу с Linuxa на FreeBSD -> >делаю шлюз и завис! > >Имеется: >FreeBSD 5.4 >pf-filter >fxp0-внешяя сеть (от прова) >rl0-внутренняя сеть > >Когда делаю так в pf.conf: >lan_net = "192.168.0.0/24" >int_if = "rl0" >ext_if1 = "fxp0" >ext_gw1 = "192.168.11.101" > >scrub in all > >nat on $ext_if1 from $lan_net to any -> ($ext_if1) > >block in from any to any Данное правило запрещает принимать все пакеты если нету других правил. >block out from any to any > >pass in quick on lo0 all >pass out quick on lo0 all > >block out on $ext_if1 all >pass out on $ext_if1 inet proto tcp all flags S/SA modulate state > >pass out on $ext_if1 inet proto {udp, icmp} all keep state > >pass out on $int_if from any to $lan_net >pass in quick on $int_if from $lan_net to $int_if Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней сети. Если его развернуть то получается что оно разрешает принимать только пакеты адресованые самому хосту, но никак не всему интернету. > >Не пингуется инет из внутренней сети. > >Когда делаю просто pf.conf: >lan_net = "192.168.0.0/24" >int_if = "rl0" >ext_if1 = "fxp0" >ext_gw1 = "192.168.11.101" > >scrub in all > >nat on $ext_if1 from $lan_net to any -> ($ext_if1) > >pass in from any to any > >Все пингуетсяи работает! > >Подскажите, плз., где я туплю!!! Надо создать правило которое разрешить узлам из внутренней сети устанавливать соединения с компьютерами из интернета ...
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "PF-filter, NAT и FreeBSD, вопрос."
	Сообщение от boboms (ok) on 17-Авг-05, 19:08 (MSK)
	>>pass out on $int_if from any to $lan_net >>pass in quick on $int_if from $lan_net to $int_if > >Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней >сети. Если его развернуть то получается что оно разрешает принимать только >пакеты адресованые самому хосту, но никак не всему интернету. > Вот спасибо большое! Т.е. другими словами, pass in quick on $int_if from $lan_net to any pass out on $int_if from any to $lan_net И заработало! Но такое впечатление, что все открыто! Посоветуй, плз., какой-нибудь типовой конфиг, где все закрыто из вне, кроме 80 и 21. Огромное спасибо заранее!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "PF-filter, NAT и FreeBSD, вопрос."
	Сообщение от Andrey (??) on 18-Авг-05, 08:54 (MSK)
	> >>>pass out on $int_if from any to $lan_net >>>pass in quick on $int_if from $lan_net to $int_if >> >>Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней >>сети. Если его развернуть то получается что оно разрешает принимать только >>пакеты адресованые самому хосту, но никак не всему интернету. >> >Вот спасибо большое! > >Т.е. другими словами, > >pass in quick on $int_if from $lan_net to any >pass out on $int_if from any to $lan_net > >И заработало! > >Но такое впечатление, что все открыто! Посоветуй, плз., какой-нибудь типовой конфиг, где >все закрыто из вне, кроме 80 и 21. Откуда такое впечатление? Правилом block in from any to any запрещяет весь входящий трафик, потом трафик на внутреннем интерфейсе разрешается правилами выше. Но разрешающих правил для внешнего интерфейса я не вижу. Правильнее сказать изнутри действительно всё открыто, а вот из вне всё скорее закрыто. > >Огромное спасибо заранее! > > >
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "PF-filter, NAT и FreeBSD, вопрос."
	Сообщение от boboms (ok) on 18-Авг-05, 12:47 (MSK)
	> >Откуда такое впечатление? > >Правилом >block in from any to any >запрещяет весь входящий трафик, потом трафик на внутреннем интерфейсе разрешается правилами выше. >Но разрешающих правил для внешнего интерфейса я не вижу. Правильнее сказать >изнутри действительно всё открыто, а вот из вне всё скорее закрыто. Спасибо за пояснения, я пока с pf правилами еще не разобрался. Подскажи, плз., как открыть снаружи только один порт, напр. 80или 21. Спасибо!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "PF-filter, NAT и FreeBSD, вопрос."
	Сообщение от co6aka (??) on 18-Авг-05, 15:31 (MSK)
	$ext_if="внешний интерфейс" $tcp_services="{ 53, 80, твои порты}" pass in on $ext_if inet proto tcp from any to $ext_if port $tcp_services flags S/SA modulate state pass in on $ext_if inet proto udp from any to $ext_if domain keep state
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "PF-filter, NAT и FreeBSD, вопрос."
	Сообщение от boboms (ok) on 18-Авг-05, 17:32 (MSK)
	>$ext_if="внешний интерфейс" >$tcp_services="{ 53, 80, твои порты}" > >pass in on $ext_if inet proto tcp from any to $ext_if port >$tcp_services flags S/SA modulate state >pass in on $ext_if inet proto udp from any to $ext_if domain >keep state Всё! Огромное спасибо! На этом успокоюсь! :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]