forum.opennet.ru - "Чудеса pf firewall

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Чудеса pf firewall - freebsd?!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Чудеса pf firewall - freebsd?!"
Сообщение от boboms (ok) on 19-Авг-05, 11:07 (MSK)
Люди, объясните, плз., как такое может быть и что это такое?! Как недавно писал, есть: FreeBSD 5.4; pf-filter; fxp0-внешяя сеть (от прова) rl0-внутренняя сеть Файл pf.conf: lan_net = "192.168.0.0/24" int_if = "rl0" ext_if = "fxp0" ext_ip = "192.168.11.11" ext_gw = "192.168.11.101" scrub in all nat on $ext_if from $lan_net to any -> ($ext_if) block in from any to any block out from any to any pass in quick on lo0 all pass out quick on lo0 all block in on $ext_if all block out on $ext_if all block in on $ext_if inet proto tcp from any to $ext_ip port 0 >< 65535 pass out on $ext_if inet proto tcp from $ext_ip to any flags S/SA modulate state block in on $ext_if inet proto {udp, icmp} from any to $ext_ip pass out on $ext_if inet proto {udp, icmp} from $ext_ip to any pass in quick on $int_if from $lan_net to any pass out quick on $int_if from any to $lan_net ВОПРОС: Почему траффик проходит во внутрь через $ext_ip если стоит: block in on $ext_if all block in on $ext_if inet proto tcp from any to $ext_ip port 0 >< 65535 block in on $ext_if inet proto {udp, icmp} from any to $ext_ip Т.е. с этими "блоками" у меня грузятся сайты и пингуется весь инет из 192.168.0.254 (роздан ноутбуку по DHCP)??!!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Чудеса pf firewall - freebsd?!, boboms, 11:18 , 19-Авг-05, (1)
- Чудеса pf firewall - freebsd?!, mc, 12:04 , 19-Авг-05, (2)
  - Чудеса pf firewall - freebsd?!, boboms, 13:05 , 19-Авг-05, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Чудеса pf firewall - freebsd?!"

Сообщение от boboms (ok) on 19-Авг-05, 11:18  (MSK)

Появилась идея, праверил на практике - дело в NAT:
nat on $ext_if from $lan_net to any -> ($ext_if)
Тогда совсем маленький вопросик - "Как применить правила фильтрации до NAT, т.е. чтобы правила обрабатывали и NAT в том числе"???
Заранее признателен!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Чудеса pf firewall - freebsd?!"

Сообщение от mc (??) on 19-Авг-05, 12:04  (MSK)

>Появилась идея, праверил на практике - дело в NAT:
>nat on $ext_if from $lan_net to any -> ($ext_if)
>
>Тогда совсем маленький вопросик - "Как применить правила фильтрации до NAT, т.е.
>чтобы правила обрабатывали и NAT в том числе"???
>
>Заранее признателен!
Никак :)
Since translation occurs before filtering the filter engine will see
     packets as they look after any addresses and ports have been translated.
     Filter rules will therefore have to filter based on the translated
     address and port number.
Ты натишь на внешьнем if и можешь все отрезать на внутреннем,
пока траф не дойдет до внешнего.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Чудеса pf firewall - freebsd?!"

Сообщение от boboms (ok) on 19-Авг-05, 13:05  (MSK)

Стоп! Не все так просто. Предположения были ложными. Опять все пингуется и из FreeBSD. Т.е. файл pf.conf вида
lan_net = "192.168.0.0/24"
int_if = "rl0"
ext_if = "fxp0"
ext_ip = "192.168.11.11"
ext_gw = "192.168.11.101"
scrub in all
nat on $ext_if from $lan_net to any -> ($ext_if)
block in from any to any
block out from any to any
pass in quick on lo0 all
pass out quick on lo0 all
block in on $ext_if all
block out on $ext_if all
block in on $ext_if inet proto tcp from any to $ext_ip port 0 >< 65535
pass out on $ext_if inet proto tcp from $ext_ip to any flags S/SA modulate state
block in on $ext_if inet proto {udp, icmp} from any to $ext_ip
pass out on $ext_if inet proto {udp, icmp} from $ext_ip to any keep state
pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from any to $lan_net
походу пропускает пакеты внутрь! Как это может быть?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Чудеса pf firewall - freebsd?!"
Сообщение от boboms (ok) on 19-Авг-05, 11:18 (MSK)
Появилась идея, праверил на практике - дело в NAT: nat on $ext_if from $lan_net to any -> ($ext_if) Тогда совсем маленький вопросик - "Как применить правила фильтрации до NAT, т.е. чтобы правила обрабатывали и NAT в том числе"??? Заранее признателен!
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Чудеса pf firewall - freebsd?!"
	Сообщение от mc (??) on 19-Авг-05, 12:04 (MSK)
	>Появилась идея, праверил на практике - дело в NAT: >nat on $ext_if from $lan_net to any -> ($ext_if) > >Тогда совсем маленький вопросик - "Как применить правила фильтрации до NAT, т.е. >чтобы правила обрабатывали и NAT в том числе"??? > >Заранее признателен! Никак :) Since translation occurs before filtering the filter engine will see packets as they look after any addresses and ports have been translated. Filter rules will therefore have to filter based on the translated address and port number. Ты натишь на внешьнем if и можешь все отрезать на внутреннем, пока траф не дойдет до внешнего.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Чудеса pf firewall - freebsd?!"
	Сообщение от boboms (ok) on 19-Авг-05, 13:05 (MSK)
	Стоп! Не все так просто. Предположения были ложными. Опять все пингуется и из FreeBSD. Т.е. файл pf.conf вида lan_net = "192.168.0.0/24" int_if = "rl0" ext_if = "fxp0" ext_ip = "192.168.11.11" ext_gw = "192.168.11.101" scrub in all nat on $ext_if from $lan_net to any -> ($ext_if) block in from any to any block out from any to any pass in quick on lo0 all pass out quick on lo0 all block in on $ext_if all block out on $ext_if all block in on $ext_if inet proto tcp from any to $ext_ip port 0 >< 65535 pass out on $ext_if inet proto tcp from $ext_ip to any flags S/SA modulate state block in on $ext_if inet proto {udp, icmp} from any to $ext_ip pass out on $ext_if inet proto {udp, icmp} from $ext_ip to any keep state pass in quick on $int_if from $lan_net to any pass out quick on $int_if from any to $lan_net походу пропускает пакеты внутрь! Как это может быть?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]