https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html Здравствуйте!<br>[code]<br># uname -a<br>FreeBSD gh_gate.home 7.0-RELEASE FreeBSD 7.0-RELEASE #4: Mon Dec 1 23:15:46 UTC 2008 ghopper@gh_gate.home:/usr/src/sys/i386/compile/gh_kernel i386<br>#<br>[/code]<br><br>Ядро соброно с PF. Правила написаны и все чудесно работает. Машиня является шлюзом для локальной сети: два провайдера (PPPOE, PPTP) и некоторое кол-во клиентов (PPTP). Всеми подключениями разруливает mpd5.<br><br>Проблема в том, что при старте системы имеются только четыре интерфейса - два до провайдера, один в локалку и lo. На них правила pf вешаются без проблем. А вот если мне при старте пытаться подсовывать ему правила на ngX-интерфейсы (которые создает mpd), то PF вообще игнорирует весь файл с правилами (замечу, что на ipfw такой маневр проходил). Собственно вопрос - как добавлять/удалять правила к уже имеющимся в PF?<br><br>В ipfw можно было легко манипулировать правилами путем добавления под любым порядковым номером и удаления любого порядкового номера. В PF есть возможность динамического изменения таблиц и макр https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#19 Wed, 16 Sep 2009 18:53:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;[/code] <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;Полистал докуменатцию по этому вопросу - нету такого вообще. Проверить в реальных <br>&gt;&gt;&gt;&gt;условия пока не могу - дома все. Кто-нибудь в курсе, насколько <br>&gt;&gt;&gt;&gt;реален этот пример? <br>&gt;&gt;<br>&gt;&gt;это на тот случай, когда у интерфейса ip меняется <br>&gt;<br>&gt;Не помогает пишет о синтаксической ошибке pf.conf, на все правила, где присутствует <br>&gt;(ng0) :)). Че делатьто? <br><br>Вот примерное использование скобок<br>pppoe_if="ng0"<br>...<br>nat on $pppoe_if ... -&gt; ($pppoe_if)<br>...<br>pass in log on $pppoe_if from ($pppoe_if) to .... <br>...<br><br>а нужны они если меняется ip на интерфейсе ну и еще там для чего то<br> https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#18 Fri, 13 Feb 2009 10:57:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;нужно писать <br>&gt;&gt;&gt;[code] <br>&gt;&gt;&gt;int_if = "(ng0)" <br>&gt;&gt;&gt;[/code] <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Полистал докуменатцию по этому вопросу - нету такого вообще. Проверить в реальных <br>&gt;&gt;&gt;условия пока не могу - дома все. Кто-нибудь в курсе, насколько <br>&gt;&gt;&gt;реален этот пример? <br>&gt;<br>&gt;это на тот случай, когда у интерфейса ip меняется <br><br>Не помогает пишет о синтаксической ошибке pf.conf, на все правила, где присутствует (ng0) :)). Че делатьто?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#17 Sat, 03 Jan 2009 18:47:43 GMT если правила будут отличатся только ip адресом, посмотрите в сторону таблиц<br> https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#16 Sat, 03 Jan 2009 18:38:02 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;1. "а чем не устраивает : прочитать &#124; изменить &#124; записать ?" <br>&gt;А как это сделать? Допустим, в якоре имеется три правила. Нужно <br>&gt;добавить еще одно. В скрипте читаю все правила в переменную, добавляю <br>&gt;свое правило и строю конструкцию <br>&gt;[code] <br>&gt;echo $str &#124; /sbin/pfctl -a "anchor/ng2" -f - <br>&gt;[/code] <br>&gt;Как-то это не совсем то, о чем я думал... Как отделять одно <br>&gt;правило от другого в $str?<br><br>добавление ниже имеющихся, с сохранением в файле, что-то типа:<br>один раз создаем файл с текущими правилами:<br>pfctl -a anchor -sr &gt; /путь/к/файлу<br><br>а потом только:<br>echo "добавляемое правило" &#124; awk '{print $0}' /путь/к/файлу - &#124; pfctl -a anchor -f - &#124; pfctl -a anchor -sr &gt; /путь/к/файлу<br><br> <br>&gt;<br>&gt;2. "по моему это возможно , только если вы натите исходящие одним <br>&gt;ip, хоть и отправляете через разных провайдеров". ip, присваеваемый проначеным пакетам <br>&gt;прописывается в правилах nat. Отсюда проблема - как присвоить ip интерфейса, <br>&gt;с которого уходит пакет, а https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#15 Sat, 03 Jan 2009 13:44:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;В данном правиле ip-отправителя заменяется на ip ng0-интерфейса. А как быть, если <br>&gt;&gt;у меня два интерфейса до провайдера и мне в одном случае <br>&gt;&gt;нужно подставлять ip-адрес (первый провайдер) ng0-интерфейса, а в другом ng1 (второй <br>&gt;&gt;провайдер). Сейчас получается, что пакеты выходят из разных интерфейсов (в соответствии <br>&gt;&gt;с таблицей маршрутизации), а приходят всегда на какой-то один... <br>&gt;<br>&gt;от вас пакеты уходит через разные интерфейсы, а ответы возвращаются на один? <br>&gt;<br>&gt;по моему это возможно , только если вы натите исходящие одним ip, <br>&gt;хоть и отправляете через разных провайдеров <br><br>1. "а чем не устраивает : прочитать &#124; изменить &#124; записать ?" А как это сделать? Допустим, в якоре имеется три правила. Нужно добавить еще одно. В скрипте читаю все правила в переменную, добавляю свое правило и строю конструкцию <br>[code]<br>echo $str &#124; /sbin/pfctl -a "anchor/ng2" -f -<br>[/code]<br>Как-то это не совсем то, о чем я думал... Как отделять одно правило от другого в $str? <br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#14 Sat, 03 Jan 2009 11:47:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;делайте несколько якорей с условиями. <br>&gt;&gt;по поводу добавлять/удалять, если я правильно понял, то изменения правил в якоре <br>&gt;&gt;происходит путем перезаписи всех правил в нем. <br>&gt;<br>&gt;совершенно правильно! При добавлении правила в якорь все имеющиеся в нем правила <br>&gt;удаляются. Это не очень хорошо. Отсюдого вопрос - как в якорь <br>&gt;добавить несколько правил? Причем может так получиться, что одно правило мне <br>&gt;нужно добавить сейчас, а другое потом.<br><br>а чем не устраивает : прочитать &#124; изменить &#124; записать ?<br>а если актуальные правила хранятся и в файле, на случай перезагрузки/выключения, то и того проще.<br>&gt;<br>&gt;И еще такой момент: <br>&gt;[code] <br>&gt;echo "nat on ng0 from 192.168.1.2 to any -&gt; (ng0)" &#124; /sbin/pfctl -a "nat_pptp_client_anchor/ng2" -f -<br>&gt;[/code] <br>&gt;В данном правиле ip-отправителя заменяется на ip ng0-интерфейса. А как быть, если <br>&gt;у меня два интерфейса до провайдера и мне в одном случае <br>&gt;нужно подставлять ip-адрес (первый провайдер) ng0-интерфейса, а в друг https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#13 Fri, 02 Jan 2009 12:51:38 GMT &gt;[оверквотинг удален]<br>&gt;помоему это не подправило, а другой якорь будет <br>&gt;<br>&gt;&gt;Тогда вопрос - как мне на якорь goodguys повесить правила отдельно для <br>&gt;&gt;ng3 и ng4 интерфейса? Ведь это разные клиенты, поэтому при подключении/отключении <br>&gt;&gt;каждого из них нужно соответственно добавлять/удалять правила? Кол-во клиентов заранее неизвестно. <br>&gt;&gt;<br>&gt;<br>&gt;делайте несколько якорей с условиями. <br>&gt;по поводу добавлять/удалять, если я правильно понял, то изменения правил в якоре <br>&gt;происходит путем перезаписи всех правил в нем. <br><br>совершенно правильно! При добавлении правила в якорь все имеющиеся в нем правила удаляются. Это не очень хорошо. Отсюдого вопрос - как в якорь добавить несколько правил? Причем может так получиться, что одно правило мне нужно добавить сейчас, а другое потом.<br><br>И еще такой момент:<br>[code]<br>echo "nat on ng0 from 192.168.1.2 to any -&gt; (ng0)" &#124; /sbin/pfctl -a "nat_pptp_client_anchor/ng2" -f -<br>[/code]<br>В данном правиле ip-отправителя заменяется на ip ng0-интерфейса. А как быть, если у меня д https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#12 Thu, 01 Jan 2009 17:21:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;[/code] <br>&gt;<br>&gt;действительно, если указывать <br>&gt;[code] <br>&gt;echo "pass in proto tcp from 192.168.0.2 to any port 22" &#124; <br>&gt;pfctl -a goodguys -f - <br>&gt;[/code] <br>&gt;то все работает. Хотя в документации создают правило, а потом к нему <br>&gt;именованные подправила пихают (через ":").<br><br>помоему это не подправило, а другой якорь будет<br> <br>&gt;Тогда вопрос - как мне на якорь goodguys повесить правила отдельно для <br>&gt;ng3 и ng4 интерфейса? Ведь это разные клиенты, поэтому при подключении/отключении <br>&gt;каждого из них нужно соответственно добавлять/удалять правила? Кол-во клиентов заранее неизвестно. <br>&gt;<br><br>делайте несколько якорей с условиями.<br>по поводу добавлять/удалять, если я правильно понял, то изменения правил в якоре происходит путем перезаписи всех правил в нем.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/83160.html#11 Wed, 31 Dec 2008 13:48:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt;#options NETGRAPH_NAT <br>&gt;&gt;<br>&gt;&gt;## ipfw options <br>&gt;&gt;#options IPFIREWALL <br>&gt;&gt;#options IPFIREWALL_VERBOSE <br>&gt;&gt;#options IPFIREWALL_VERBOSE_LIMIT=1000 <br>&gt;&gt;#options IPDIVERT <br>&gt;&gt;#options DUMMYNET <br>&gt;&gt;<br>&gt;&gt;[/code] <br><br>действительно, если указывать <br>[code]<br>echo "pass in proto tcp from 192.168.0.2 to any port 22" &#124; pfctl -a goodguys -f - <br>[/code]<br>то все работает. Хотя в документации создают правило, а потом к нему именованные подправила пихают (через ":").<br>Тогда вопрос - как мне на якорь goodguys повесить правила отдельно для ng3 и ng4 интерфейса? Ведь это разные клиенты, поэтому при подключении/отключении каждого из них нужно соответственно добавлять/удалять правила? Кол-во клиентов заранее неизвестно.<br>