The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"pf"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"pf"  
Сообщение от scaroot on 07-Сен-07, 14:01 
Добрый день!
есть конфиг
....
block all
pass out quick from 192.168.0.10 to any keep state

и он почему то не работает, если точнее - пакеты уходят, но не приходят, значит не работает keep state пробовал modulate state - таже ситуация.

Кто что может подсказать?


FreeBSD 6.2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

  • pf, Andrey, 14:04 , 07-Сен-07, (1)  
    • pf, scaroot, 14:09 , 07-Сен-07, (2)  
  • pf, Lemegeton, 15:51 , 07-Сен-07, (3)  
    • pf, scaroot, 17:30 , 07-Сен-07, (6)  
  • pf, ShyLion, 15:59 , 07-Сен-07, (4)  
    • pf, scaroot, 17:29 , 07-Сен-07, (5)  
      • pf, niksonnnn, 17:36 , 07-Сен-07, (7)  
        • pf, scaroot, 18:00 , 07-Сен-07, (8)  
          • pf, reader, 22:02 , 07-Сен-07, (9)  
            • pf, reader, 22:42 , 07-Сен-07, (10)  
              • pf, niksonnnn, 09:56 , 10-Сен-07, (11)  
                • pf, scaroot, 16:15 , 10-Сен-07, (12)  
                  • pf, niksonnnn, 17:41 , 10-Сен-07, (13)  

Сообщения по теме [Сортировка по времени, UBB]


1. "pf"  
Сообщение от Andrey (??) on 07-Сен-07, 14:04 
block all
pass in on rl0 from 192.168.0.10 to any keep state

rl0 - внутренний интерфейс

а пакеты уходят на внешнюю сеть? если да, то нужен nat.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "pf"  
Сообщение от scaroot on 07-Сен-07, 14:09 
>block all
>pass in on rl0 from 192.168.0.10 to any keep state
>
>rl0 - внутренний интерфейс
>
>а пакеты уходят на внешнюю сеть? если да, то нужен nat.

нат есть, при pass quick from any to any инет у всех работает и все в порядке.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "pf"  
Сообщение от Lemegeton (ok) on 07-Сен-07, 15:51 
>[оверквотинг удален]
>pass out quick from 192.168.0.10 to any keep state
>
>и он почему то не работает, если точнее - пакеты уходят, но
>не приходят, значит не работает keep state пробовал modulate state -
>таже ситуация.
>
>Кто что может подсказать?
>
>
>FreeBSD 6.2

Попробуйте убрать ключевое слово quick.

block all
pass out from xxx.xxx.xxx.xxx to any keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "pf"  
Сообщение от scaroot on 07-Сен-07, 17:30 
>[оверквотинг удален]
>>
>>Кто что может подсказать?
>>
>>
>>FreeBSD 6.2
>
>Попробуйте убрать ключевое слово quick.
>
>block all
>pass out from xxx.xxx.xxx.xxx to any keep state

не работает, не в квике здесь дело.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "pf"  
Сообщение от ShyLion (ok) on 07-Сен-07, 15:59 
>[оверквотинг удален]
>pass out quick from 192.168.0.10 to any keep state
>
>и он почему то не работает, если точнее - пакеты уходят, но
>не приходят, значит не работает keep state пробовал modulate state -
>таже ситуация.
>
>Кто что может подсказать?
>
>
>FreeBSD 6.2

попробуй
pass out quick proto tcp from 192.168.0.10 to any keep state
pass out quick proto { udp,icmp } from 192.168.0.10 to any keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "pf"  
Сообщение от scaroot on 07-Сен-07, 17:29 
>[оверквотинг удален]
>>
>>Кто что может подсказать?
>>
>>
>>FreeBSD 6.2
>
>попробуй
>pass out quick proto tcp from 192.168.0.10 to any keep state
>pass out quick proto { udp,icmp } from 192.168.0.10 to any keep
>state

не работает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "pf"  
Сообщение от niksonnnn email(??) on 07-Сен-07, 17:36 
>[оверквотинг удален]
>>>
>>>
>>>FreeBSD 6.2
>>
>>попробуй
>>pass out quick proto tcp from 192.168.0.10 to any keep state
>>pass out quick proto { udp,icmp } from 192.168.0.10 to any keep
>>state
>
>не работает

приведите весь конфиг....

Телепаты в отпуске

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "pf"  
Сообщение от scaroot on 07-Сен-07, 18:00 
     # Macros
#if_out="rl0"
#if_in="rl1"
#ip_out="ip"
#ip_in="192.168.0.1"
#in_net="192.168.0.0/24"
users="{ 192.168.0.100, 192.168.0.12, 192.168.0.10, 192.168.0.41, 192.168.0.13, 192.168.0.138, 192.168.0.3, 192.168.0.57, 192.168.0.2,192.168.0.18, 192.168.0.
#mail_port="{25,110}"
#icq_port="5190"
#all_port="{ 25, 110, 137, 138, 139, 443, 5190, 80 }"
#udp_port="53"
set block-policy drop
        # Packet normaliZe
scrub in all
        # Nat
nat on rl0 from rl1:network to any -> ip
        # Rules
set skip on lo0
#pass quick all
block all
#block quick from freegames.zone.com to any
#block quick from {ua2.infostore.org,2s-49.colo1.kv.wnet.ua,games.kievnet.com.ua} to any
#block quick from any to {ua2.infostore.org,2s-49.colo1.kv.wnet.ua,games.kievnet.com.ua}
#block in quick from any to 192.168.0.150
#block out quick from 192.168.0.150 to any

pass quick from any to any
pass quick from ip to any
pass quick proto tcp from 192.168.0.0/24 to 192.168.0.1 port 21
pass quick proto tcp from any to ip port 21


ip = внешний апишник

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "pf"  
Сообщение от reader (??) on 07-Сен-07, 22:02 
>[оверквотинг удален]
>set skip on lo0
>#pass quick all
>block all
>#block quick from freegames.zone.com to any
>#block quick from {ua2.infostore.org,2s-49.colo1.kv.wnet.ua,games.kievnet.com.ua} to any
>#block quick from any to {ua2.infostore.org,2s-49.colo1.kv.wnet.ua,games.kievnet.com.ua}
>#block in quick from any to 192.168.0.150
>#block out quick from 192.168.0.150 to any
>
>pass quick from any to any

если это правило убрать, то не вижу что разрешит с 192.168.0.1 в 192.168.0.0/24

pass quick from ip to any
pass quick proto tcp from 192.168.0.0/24 to 192.168.0.1 port 21
pass quick proto tcp from any to ip port 21


ip = внешний апишник

или не это правило убираете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "pf"  
Сообщение от reader (??) on 07-Сен-07, 22:42 
Хотя не понятно куда вы обращаетесь с 192.168.0.10.
Если в инет, то ответы разрешены только на 21 порт, если убрать pass quick from any to any.  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "pf"  
Сообщение от niksonnnn email(??) on 10-Сен-07, 09:56 
>Хотя не понятно куда вы обращаетесь с 192.168.0.10.
>Если в инет, то ответы разрешены только на 21 порт, если убрать
>pass quick from any to any.

Вот скажите зачем Вам pf?
Вы читали мануал к нему?

Если честно, то я не увидел логики в вашем конфиге....
Почему всё закоментировано?

Посмотрите пример конфигурационного файла и идите от простого к сложному...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "pf"  
Сообщение от scaroot on 10-Сен-07, 16:15 
>Вот скажите зачем Вам pf?

для организации нат + фильтрации пакетов
>Вы читали мануал к нему?

да и неединожды
>Если честно, то я не увидел логики в вашем конфиге....
>Почему всё закоментировано?

потому что тестию, а так мне проще
>Посмотрите пример конфигурационного файла и идите от простого к сложному...

смотрел.


Все же на вопрос я так ответа и не увидел.
Зачем умничать если ответа дать не можете ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "pf"  
Сообщение от niksonnnn email(??) on 10-Сен-07, 17:41 
>>Вот скажите зачем Вам pf?
>
>для организации нат + фильтрации пакетов
>>Вы читали мануал к нему?
>
>да и неединожды

Видимо не очень внимательно

>>Если честно, то я не увидел логики в вашем конфиге....
>>Почему всё закоментировано?
>
>потому что тестию, а так мне проще

Закоментировав НЕОБХОДИМЫЙ минимум вы хотите заставить работать сей фильтр?

>>Посмотрите пример конфигурационного файла и идите от простого к сложному...
>
>смотрел.
>
>
>Все же на вопрос я так ответа и не увидел.
>Зачем умничать если ответа дать не можете ?

Я не умничаю... всё сказанное лишь мое ИМХО... и не объяснив толком ничего Вы будете всегда в проигрыше ))))


Вот пример конфига РЕАЛЬНО работающего:

proxy# cat /etc/pf.conf

# Macros
ext_if="ETHERNET0"    # external interface name
int_if="ETHERNET0"    # internal interface name

lan_net="192.168.0.0/24"

external_addr1="EXTERNAL_IP1"

table <no_route> file "/var/db/nonat"


# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"


scrub in all

nat on $ext_if from $lan_net to any -> $external_addr1
no nat on $ext_if from <no_route> to any port 80


pass in on $int_if all
pass out on $int_if all


pass  in  on $ext_if proto tcp from any  to $external_addr3 port 22 keep state
pass  out on $ext_if proto { tcp, udp } from  $lan_net keep state

block in on $ext_if all

P.S. Иногда полезно указывать ОЧЕНЬ ПОДРОБНО куда, кому и как... это ведь пакетный фильтр... Обратите внимание, что я указал КОНКРЕТНЫЕ интерфейсы.

Желаю Вам удачи в освоении (лично мое ИМХО) одного из самых лучших, простых, надежных, удобных и просто красивых PF)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру