forum.opennet.ru

Составление сообщения

Исходное сообщение

"pf"
Отправлено niksonnnn, 10-Сен-07 17:41

>>Вот скажите зачем Вам pf?
>
>для организации нат + фильтрации пакетов
>>Вы читали мануал к нему?
>
>да и неединожды
Видимо не очень внимательно
>>Если честно, то я не увидел логики в вашем конфиге....
>>Почему всё закоментировано?
>
>потому что тестию, а так мне проще
Закоментировав НЕОБХОДИМЫЙ минимум вы хотите заставить работать сей фильтр?
>>Посмотрите пример конфигурационного файла и идите от простого к сложному...
>
>смотрел.
>
>
>Все же на вопрос я так ответа и не увидел.
>Зачем умничать если ответа дать не можете ?
Я не умничаю... всё сказанное лишь мое ИМХО... и не объяснив толком ничего Вы будете всегда в проигрыше ))))

Вот пример конфига РЕАЛЬНО работающего:
proxy# cat /etc/pf.conf
# Macros
ext_if="ETHERNET0"    # external interface name
int_if="ETHERNET0"    # internal interface name
lan_net="192.168.0.0/24"
external_addr1="EXTERNAL_IP1"
table <no_route> file "/var/db/nonat"

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

scrub in all
nat on $ext_if from $lan_net to any -> $external_addr1
no nat on $ext_if from <no_route> to any port 80

pass in on $int_if all
pass out on $int_if all

pass  in  on $ext_if proto tcp from any  to $external_addr3 port 22 keep state
pass  out on $ext_if proto { tcp, udp } from  $lan_net keep state
block in on $ext_if all
P.S. Иногда полезно указывать ОЧЕНЬ ПОДРОБНО куда, кому и как... это ведь пакетный фильтр... Обратите внимание, что я указал КОНКРЕТНЫЕ интерфейсы.
Желаю Вам удачи в освоении (лично мое ИМХО) одного из самых лучших, простых, надежных, удобных и просто красивых PF)))

Исходное сообщение
"pf" Отправлено niksonnnn, 10-Сен-07 17:41
>>Вот скажите зачем Вам pf? > >для организации нат + фильтрации пакетов >>Вы читали мануал к нему? > >да и неединожды Видимо не очень внимательно >>Если честно, то я не увидел логики в вашем конфиге.... >>Почему всё закоментировано? > >потому что тестию, а так мне проще Закоментировав НЕОБХОДИМЫЙ минимум вы хотите заставить работать сей фильтр? >>Посмотрите пример конфигурационного файла и идите от простого к сложному... > >смотрел. > > >Все же на вопрос я так ответа и не увидел. >Зачем умничать если ответа дать не можете ? Я не умничаю... всё сказанное лишь мое ИМХО... и не объяснив толком ничего Вы будете всегда в проигрыше )))) Вот пример конфига РЕАЛЬНО работающего: proxy# cat /etc/pf.conf # Macros ext_if="ETHERNET0" # external interface name int_if="ETHERNET0" # internal interface name lan_net="192.168.0.0/24" external_addr1="EXTERNAL_IP1" table <no_route> file "/var/db/nonat" # Options: tune the behavior of pf, default values are given. set timeout { interval 10, frag 30 } set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set timeout { udp.first 60, udp.single 30, udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 } set timeout { other.first 60, other.single 30, other.multiple 60 } set timeout { adaptive.start 0, adaptive.end 0 } set limit { states 10000, frags 5000 } set loginterface none set optimization normal set block-policy drop set require-order yes set fingerprints "/etc/pf.os" scrub in all nat on $ext_if from $lan_net to any -> $external_addr1 no nat on $ext_if from <no_route> to any port 80 pass in on $int_if all pass out on $int_if all pass in on $ext_if proto tcp from any to $external_addr3 port 22 keep state pass out on $ext_if proto { tcp, udp } from $lan_net keep state block in on $ext_if all P.S. Иногда полезно указывать ОЧЕНЬ ПОДРОБНО куда, кому и как... это ведь пакетный фильтр... Обратите внимание, что я указал КОНКРЕТНЫЕ интерфейсы. Желаю Вам удачи в освоении (лично мое ИМХО) одного из самых лучших, простых, надежных, удобных и просто красивых PF)))

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру