URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59270
[ Назад ]

Исходное сообщение
"PF-filter, NAT и FreeBSD, вопрос."
Отправлено boboms , 17-Авг-05 18:26

Народ, помогите плз.,
перехожу с Linuxa на FreeBSD ->
делаю шлюз и завис!
Имеется:
FreeBSD 5.4
pf-filter
fxp0-внешяя сеть (от прова)
rl0-внутренняя сеть
Когда делаю так в pf.conf:
lan_net = "192.168.0.0/24"
int_if = "rl0"
ext_if1 = "fxp0"
ext_gw1 = "192.168.11.101"
scrub in all
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
block in from any to any
block out from any to any
pass in quick on lo0 all
pass out quick on lo0 all
block out on $ext_if1 all
pass out on $ext_if1 inet proto tcp all flags S/SA modulate state
pass out on $ext_if1 inet proto {udp, icmp} all keep state
pass out on $int_if from any to $lan_net
pass in quick on $int_if from $lan_net to $int_if
Не пингуется инет из внутренней сети.
Когда делаю просто pf.conf:
lan_net = "192.168.0.0/24"
int_if = "rl0"
ext_if1 = "fxp0"
ext_gw1 = "192.168.11.101"
scrub in all
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
pass in from any to any
Все пингуетсяи работает!
Подскажите, плз., где я туплю!!!

Содержание

PF-filter, NAT и FreeBSD, вопрос.,Andrey, 18:38 , 17-Авг-05
- PF-filter, NAT и FreeBSD, вопрос.,boboms, 19:08 , 17-Авг-05
  - PF-filter, NAT и FreeBSD, вопрос.,Andrey, 08:54 , 18-Авг-05
    - PF-filter, NAT и FreeBSD, вопрос.,boboms, 12:47 , 18-Авг-05
      - PF-filter, NAT и FreeBSD, вопрос.,co6aka, 15:31 , 18-Авг-05
        
        PF-filter, NAT и FreeBSD, вопрос.,boboms, 17:32 , 18-Авг-05

Сообщения в этом обсуждении

"PF-filter, NAT и FreeBSD, вопрос."
Отправлено Andrey , 17-Авг-05 18:38

>Народ, помогите плз.,
>перехожу с Linuxa на FreeBSD ->
>делаю шлюз и завис!
>
>Имеется:
>FreeBSD 5.4
>pf-filter
>fxp0-внешяя сеть (от прова)
>rl0-внутренняя сеть
>
>Когда делаю так в pf.conf:
>lan_net = "192.168.0.0/24"
>int_if = "rl0"
>ext_if1 = "fxp0"
>ext_gw1 = "192.168.11.101"
>
>scrub in all
>
>nat on $ext_if1 from $lan_net to any -> ($ext_if1)
>
>block in from any to any
Данное правило запрещает принимать все пакеты если нету других правил.
>block out from any to any
>
>pass in quick on lo0 all
>pass out quick on lo0 all
>
>block out on $ext_if1 all
>pass out on $ext_if1 inet proto tcp all flags S/SA modulate state
>
>pass out on $ext_if1 inet proto {udp, icmp} all keep state
>
>pass out on $int_if from any to $lan_net
>pass in quick on $int_if from $lan_net to $int_if
Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней сети. Если его развернуть то получается что оно разрешает принимать только пакеты адресованые самому хосту, но никак не всему интернету.
>
>Не пингуется инет из внутренней сети.
>
>Когда делаю просто pf.conf:
>lan_net = "192.168.0.0/24"
>int_if = "rl0"
>ext_if1 = "fxp0"
>ext_gw1 = "192.168.11.101"
>
>scrub in all
>
>nat on $ext_if1 from $lan_net to any -> ($ext_if1)
>
>pass in from any to any
>
>Все пингуетсяи работает!
>
>Подскажите, плз., где я туплю!!!
Надо создать правило которое разрешить узлам из внутренней сети устанавливать соединения с компьютерами из интернета ...

"PF-filter, NAT и FreeBSD, вопрос."
Отправлено boboms , 17-Авг-05 19:08

>>pass out on $int_if from any to $lan_net
>>pass in quick on $int_if from $lan_net to $int_if
>
>Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней
>сети. Если его развернуть то получается что оно разрешает принимать только
>пакеты адресованые самому хосту, но никак не всему интернету.
>
Вот спасибо большое!
Т.е. другими словами,
pass in quick on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net
И заработало!
Но такое впечатление, что все открыто! Посоветуй, плз., какой-нибудь типовой конфиг, где все закрыто из вне, кроме 80 и 21.
Огромное спасибо заранее!

"PF-filter, NAT и FreeBSD, вопрос."
Отправлено Andrey , 18-Авг-05 08:54

>
>>>pass out on $int_if from any to $lan_net
>>>pass in quick on $int_if from $lan_net to $int_if
>>
>>Насколько я понимаю данное правило должно разрешать стенке принимать пакеты из внутренней
>>сети. Если его развернуть то получается что оно разрешает принимать только
>>пакеты адресованые самому хосту, но никак не всему интернету.
>>
>Вот спасибо большое!
>
>Т.е. другими словами,
>
>pass in quick on $int_if from $lan_net to any
>pass out on $int_if from any to $lan_net
>
>И заработало!
>
>Но такое впечатление, что все открыто! Посоветуй, плз., какой-нибудь типовой конфиг, где
>все закрыто из вне, кроме 80 и 21.
Откуда такое впечатление?
Правилом
block in from any to any
запрещяет весь входящий трафик, потом трафик на внутреннем интерфейсе разрешается правилами выше. Но разрешающих правил для внешнего интерфейса я не вижу. Правильнее сказать изнутри действительно всё открыто, а вот из вне всё скорее закрыто.

>
>Огромное спасибо заранее!
>
>
>

"PF-filter, NAT и FreeBSD, вопрос."
Отправлено boboms , 18-Авг-05 12:47

>
>Откуда такое впечатление?
>
>Правилом
>block in from any to any
>запрещяет весь входящий трафик, потом трафик на внутреннем интерфейсе разрешается правилами выше.
>Но разрешающих правил для внешнего интерфейса я не вижу. Правильнее сказать
>изнутри действительно всё открыто, а вот из вне всё скорее закрыто.
Спасибо за пояснения, я пока с pf правилами еще не разобрался.
Подскажи, плз., как открыть снаружи только один порт, напр. 80или 21.
Спасибо!

"PF-filter, NAT и FreeBSD, вопрос."
Отправлено co6aka , 18-Авг-05 15:31

$ext_if="внешний интерфейс"
$tcp_services="{ 53, 80, твои порты}"
pass in on $ext_if inet proto tcp from any to $ext_if port $tcp_services flags S/SA modulate state
pass in on $ext_if inet proto udp from any to $ext_if domain keep state

"PF-filter, NAT и FreeBSD, вопрос."
Отправлено boboms , 18-Авг-05 17:32

>$ext_if="внешний интерфейс"
>$tcp_services="{ 53, 80, твои порты}"
>
>pass in on $ext_if inet proto tcp from any to $ext_if port
>$tcp_services flags S/SA modulate state
>pass in on $ext_if inet proto udp from any to $ext_if domain
>keep state
Всё! Огромное спасибо! На этом успокоюсь! :)