Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - PF и FreeBSD

Ответить
Настройки темы
FreeBSD - PF и FreeBSD

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всем привет! Очень нужна помощь по такому вопросу. Мне по наследству досталось FreeBSD на которой был настроен PF. Так как я практически не знаю его начал изучать. Оказалось что он был настроен просто никак. Даже Block all не включен. Главная была задача настроить его по человечески + требование чтобы только определенные пк в сети могли выходить в интернет. Так как пк мало у всех закреплены статические ip.
PF.conf пример
ext_if="re1" #внешний интерфейс
int_if="re0" #внутренний интерфейс
my_lan="192.168.1.0/24"
my_pc="192.168.1.8" # пк которому разрешен выход в инет

set skip on lo0

scrub in all

nat on $ext_if from $my_lan to any -> ($ext_if)

block all
#далее опускаю пробросы rdr, правила фильтрации все коментирую оставляю только то что ниже:

pass in on $int_if from $my_pc to any
pass out on $int_if from any any
pass out on $ext_if from $my_pc to any

Почему с my_pc всё равно не пашет интернет??? Открывается только Яндекс всё остальное не открывается!!?!?!?!?!
Или можно как то другим методом?
Очень надеюсь на помощь!!!

Отправлено: 11:05, 23-07-2011

 

Пользователь


Сообщения: 87
Благодарности: 3

Профиль | Отправить PM | Цитировать


необходимо анализировать ситуацию комплексно. Какие результаты возвращает утилиты ping, traceroute, telnet, nslookup....
Цитата paladinstar:
pass out on $int_if from any any »
опечатка при наборе сообщения или копипаст с вашего роутера?
Цитата paladinstar:
pass out on $ext_if from $my_pc to any »
исходящие разрешены, а входящие?

Отправлено: 13:49, 23-07-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


В первом случае опечатка
pass out on $int_if from any to any

Как лудше для входящий написать?
Я для входящих только ssh и rdp разрешения писал, из дома чтобы ходить. Ведь если так как сейчас, то должно срабатывать keep state?
Настроено было так
внешний интерфейс и основной шлюз разные ip. Когда пингую яндекс например то пинги идут через внутренний интерфейс, потом основной шлюз и наружу. Другие сайты не пингуюся вообще.

Отправлено: 15:32, 23-07-2011 | #3


Пользователь


Сообщения: 87
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата paladinstar:
Так как я практически не знаю его начал изучать. »
Цитата paladinstar:
Как лудше для входящий написать? »
вот и скажите нам
Цитата paladinstar:
Я для входящих только ssh и rdp разрешения писал, из дома чтобы ходить. »
для этого лучше все же впн-сервер организовать.имхо.
Цитата paladinstar:
Когда пингую яндекс например то пинги идут через внутренний интерфейс, потом основной шлюз и наружу. Другие сайты не пингуюся вообще. »
Цитата contoso.com:
необходимо анализировать ситуацию комплексно. Какие результаты возвращает утилиты ping, traceroute, telnet, nslookup.... ?»
приведите здесь результаты ping ya.ru, tracert ya.ru, telnet ya.ru 80, nslookup ya.ru и тоже самое, для любого другого ресурса, к которому нет доступа.

Отправлено: 17:20, 23-07-2011 | #4


Аватара для Hangsman

Пользователь


Сообщения: 55
Благодарности: 6

Профиль | Отправить PM | Цитировать


На ПК NAT есть?

Цитата paladinstar:
pass out on $ext_if from $my_pc to any »
Тут пакеты идут с ИП уже не с тем который на внутреннем интерфейсе, а с тем который на внешем, то есть само правило никак не влияет на работу

+ самый большой всех этих правил - отсутсвие ключевого слова quick, без которого эти все правила безсмысленны

доджно быть что-то типа такого

pass out quick on $ext_if from my_out_ip to any keep state

my_out_ip - это внешний ип-адрес сервера

Отправлено: 15:04, 24-07-2011 | #5


Пользователь


Сообщения: 87
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата Hangsman:
доджно быть что-то типа такого
pass out quick on $ext_if from my_out_ip to any keep state »
Естественно, что исходящие с самого сервера должны быть разрешены, частично, либо полностью - не суть. Смысл quick исключить прохождение пакета по списку правил, следующим за текущим правилом. Соответственно надо помещать это правило в самом начале списка фильтрации. Иначе, если правило находится в конце, параметр quick не влияет ни на что.

Отправлено: 09:14, 25-07-2011 | #6


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Буду пробовать, пока некогда было протестить

Отправлено: 21:00, 25-07-2011 | #7



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - PF и FreeBSD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
FreeBSD - [решено] Запись FreeBSD 8.2-RELEASE / FreeBSD 7.4-RELEAS Frost O.S Общий по FreeBSD 1 13-07-2011 01:35
FreeBSD FreeBSD 6.2-R + SE7221BK1-E strelock Железо во FreeBSD 0 26-03-2007 13:30
UPDATING FreeBSD 6.2 до FreeBSD 6.2-p2 не получилось... kaEwituS Общий по FreeBSD 14 07-03-2007 11:02
freeBSD wahnsinng Общий по FreeBSD 24 03-12-2004 21:25
cvsup Freebsd-release >> Freebsd-stable Guest Общий по FreeBSD 8 21-01-2004 03:59




 
Переход