![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » Простые правила PF |
|
Простые правила PF
|
Пользователь Сообщения: 107 |
Люди подскажите !!!
почему pass out on $ext_if from 10.10.10.250 to any не пускает а pass out on $ext_if all пускает, но всех, а нужно разграничить доступ по IP На этом же интерфейсе стоят еще такие правила: nat on $ext_if from $internal_net to any -> $ext_if block drop all (до разрешающих) |
|
Отправлено: 13:38, 13-06-2007 |
Пользователь Сообщения: 78
|
Профиль | Отправить PM | Цитировать pf - хороший firewall,но на пальцах не обяснишь. вобще firewall-это такая штука,где надо точно знать что ты делаешь и зачем.
pass out on $ext_if from 10.10.10.250 to any пускает весь траффик, ИСХОДЯЩИЙ с $ext_if с адресом отправителя 10.10.10.250 любому адресу. pass out on $ext_if all пускает весь траффик, ИСХОДЯЩИЙ с $ext_if nat on $ext_if from $internal_net to any -> $ext_if трансирует ВХОДЯЩИЙ И ИСХОДЯЩИЙ траффик по интерфейсу $ext_if с адресом отправителья $internal_net и назначения любой на $ext_if вобще рекомендую почитать man pf.conf http://www.opennet.ru/base/sec/pf_openbsd_altq.txt.html http://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/ http://www.opennet.ru/search.shtml?words=pf&restrict= еще рекомендую организовывать все правила quick, те поиск останавливается на конкретном правиле. |
Отправлено: 15:12, 13-06-2007 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
just mar Сообщения: 3906
|
Профиль | Отправить PM | Цитировать kryo
дело в том, что первое правило задает проход пакета в одну сторону (от ip к any) . Но пакет ведь должен еще придти ответ? А вот этого правила у Вас и нет. Можно его дописать, а можно использовать конструкцию keep-state Второй вариант обеспечивает проход в обе стороны. |
Отправлено: 16:15, 13-06-2007 | #3 |
Пользователь Сообщения: 107
|
Профиль | Отправить PM | Цитировать Спасибо, проблема решена, NAT не ловит внутренние адреса на внешнем интерфейсе,
потому что на момент фильтрации они уже транслированы во внешние. Перестроил правила на внутреннем интерфейсе. mar да, keep state рулит. |
Отправлено: 18:27, 13-06-2007 | #4 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
SQL Lite простые манипуляцыи с БД | andr_mozg | AutoIt | 3 | 07-08-2009 12:55 | |
2 простые утилиты по сетям!!! Who??? | Syoga | Программирование и базы данных | 15 | 11-06-2007 14:10 | |
Новичок. Простые вопросы. | Grub | Вебмастеру | 7 | 28-04-2007 15:41 | |
Простые числа на Си++ | nemo555 | Программирование и базы данных | 13 | 13-03-2007 21:24 | |
Простые вопросы. | Unixman | Общий по Linux | 11 | 17-07-2003 03:04 |
|