PF - Packet Filter / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / PF - Packet Filter

5 сообщений из 5, страница 1 из 1

PF - Packet Filter

#36487148

FreeB

Гость

Дано

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

FreeBSD router
gateway_enabled="YES"

Etx_if  192 . 168 . 1 . 5  netmast  255 . 255 . 255 . 0   -  в АДСЛ
int_if  10 . 107 . 0 . 205  netmask  255 . 255 . 255 . 128   -  в считч


Notebook (W2K Pro)

IP  10 . 107 . 0 . 210   -  в свитч
Gate  10 . 107 . 0 . 205   (та же что и int_if )
netmask  255 . 255 . 255 . 128 
DNS  10 . 107 . 0 . 205

FreeBSD router через РРР ходит в инет (пингуется и гугл и ноутбук)
Notebook пингует FreeBSD router
но не пингует гугл

По идее нужно настраивать на FreeBSD router файерволл
Я решил использовать PF
В ядро фильтв ключен
но в rc.conf заремировал pf_enabled, и все, что к нему относится....
Ибо прочел в THE BOOK OF PF, что мол если фильтр не включен - то он не делает ничего..
ничего не блочит (????).

Но, что-то же блочит мне инет на ноуте?

Подскажите, без строки в /etc/sysctl.conf.
net.inet.ip.forwarding=1
установки
pf_enabled="YES" и так далее

и настройки правил
а-ля

Код: plaintext

1.
2.
3.
4.
5.

table <superuser> persist "/etc/superusers" (список тех кому позволено)

nat on $ext_if from <superuser> to any -> ($ext_if)
block all
pass from ......

мне даже не стоит надеяться на получение доступа к интернету на второй машине?

Спасибо!

...

Рейтинг:

0 / 0

25.02.2010, 08:31

| Ответить | Цитировать | Написать

PF - Packet Filter

#36488013

FreeB

Гость

вот блин

Ядро скомпилено с

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

# PF Packet filter
device          pf
device          pflog
device          pfsync

options         ALTQ
options         ALTQ_CBQ       
options         ALTQ_RED       
options         ALTQ_RIO    
options         ALTQ_HFSC    
options         ALTQ_PRIQ     
options         ALTQ_NOPCC

в /etc/rc.conf

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.

gateway_enable="YES"    
inetd_enable="YES"   
     
pf_enable="YES"                 # Включить PF (загрузить модуль если необходимо)
pf_rules="/etc/pf.conf"         # определение правил для pf
pf_flags=""                     # дополнительные флаги для запуска pfctl
pflog_enable="YES"              # запустить pflogd( 8 ) и ведение лога
pflog_logfile="/var/log/pflog"  # где pflogd должен сохранять протокол
pflog_flags=""                  # дополнительные флаги для запуска pflogd

pf_program="/sbin/pfctl" 
pflog_program="/sbin/pflogd" 
pfsync_enable="NO"
pfsync_syncdev=""
pfsync_ifconfig=""

На всякий случай (хотя, вроде это только для OpenBSD нужно)
в /etc/sysctl.conf

Код: plaintext

net.inet.ip.forwarding= 1

в файл /etc/rc.conf.local

Код: plaintext

1.
2.

pf=YES 
pf_rules=/etc/pf.conf

/etc/pf.conf

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.

### imodem Bridge
ext_if = "tun0"              # external LAN – to ADSL modem
int_if = "sk0" 	              # internal LAN – to our Company NetWork
lan="10.107.0.128/25"        # our NetWork IPs 
proxy_if="lo0"               # Proxy interface
proxy_port="8080"            # Proxy Port

# IT department ip list
table <itdepartment> persist file "/etc/pf_itdepartment" 

set loginterface $ext_if
## отброс пакетов
set block-policy return   ###drop
## Игнорируем петлевой интерфейс
set skip on lo0

## нормализуем входящий трафик
scrub in all fragment reassemble
## нормализуем исходящтй трафик
scrub out all random-id max-mss  1440 

# rule for itdepartment
 nat on $ext_if from <itdepartment> to any -> ($ext_if)

## block all incoming connections
block in on $ext_if
## allow all out connections at ext_if
pass out on $ext_if keep state

## simple antispoof is ON
antispoof quick for $ext_if 
antispoof quick for $int_if

Код: plaintext

1.
2.
3.

#  содержимое файла /etc/pf_itdepartment
# IT department ip list
 10 . 107 . 0 . 205   # FreeBSD router IP
 10 . 107 . 2 . 210   # Notebook (W2K Pro) IP с которым и экспериментируем

Включаем (пробовал и ребутить, но правила включены)

Код: plaintext

# pfctl -e
# pfctl -f /etc/pf.conf

"дозвонка"

Код: plaintext

ppp -ddial ukrtel

и имеем на FreeBSD router

Код: plaintext

1.
2.

ping -c3  10 . 107 . 0 . 205  (удачно)
ping -c3  10 . 107 . 0 . 210  (удачно)
ping -c3 www.google.com (удачно)

смотрим ifconfig
видим, что tun0 (его же я выше "обозвал" ext_if ) получил ай-пишку, выданную нам провайдером 82.***.***.***

Код: plaintext

ping -c3  82 .***.***.*** (удачно)

Идем на Notebook (W2K Pro) (включен через свитч)
Его данные

Код: plaintext

1.
2.
3.
4.
5.

IP  10 . 107 . 0 . 210   -  в свитч
Gate  10 . 107 . 0 . 205   (та же что и int_if  у FreeBSD router)
netmask  255 . 255 . 255 . 128 
DNS  10 . 107 . 0 . 205  (та же что и int_if  у FreeBSD router) тут не уверен, что ее надо писать
может то, что после установления связи пишется в качестве nameserver в /etc/resolv.conf???

имеем с Notebook (W2K Pro)

Код: plaintext

1.
2.
3.
4.

ping -c3  10 . 107 . 0 . 205  ( FreeBSD routerудачно)
ping -c3  10 . 107 . 0 . 210  (сам себя - разумется удачно)
ping -c3 www.google.com 
www.google.com: Неизвестный узел.

то есть инета на Notebook (W2K Pro) нету

Где же затык-то?
Что-то в правилах я недопонял.....

...

Рейтинг:

0 / 0

25.02.2010, 14:33

| Ответить | Цитировать | Написать

PF - Packet Filter

#36488326

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

FreeB,
А где у вас Nat...

...

Рейтинг:

0 / 0

25.02.2010, 16:05

| Ответить | Цитировать | Написать

PF - Packet Filter

#36488341

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

FreeB,
Простите не заметил, попробуйте по ip-нику пингануть провайдера, если удачно, настраивайте DNS на роутере...

...

Рейтинг:

0 / 0

25.02.2010, 16:09

| Ответить | Цитировать | Написать

PF - Packet Filter

#36488414

FreeB

Гость

Sergey OrlovFreeB,
Простите не заметил, попробуйте по ip-нику пингануть провайдера, если удачно, настраивайте DNS на роутере...

сейчас нет возможности, но провайдер с машины FreeBSD пингуется.

Надеюсь мне не показалось, но затык у меня из-за банальной опечатки, а именно:

Код: plaintext

1.
2.
3.

#  содержимое файла /etc/pf_itdepartment
# IT department ip list
 10 . 107 . 0 . 205   # FreeBSD router IP
 10 . 107 . 2 . 210   # Notebook (W2K Pro) IP с которым и экспериментируем

в то время как Notebook (W2K Pro)-то имеет адрес 10.107.0.210
но это уже на завтра проверю

...

Рейтинг:

0 / 0

25.02.2010, 16:34

| Ответить | Цитировать | Написать

5 сообщений из 5, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / PF - Packet Filter

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=36488326&tid=1485102]:	0ms
get settings:	6ms
get forum list:	10ms
check forum access:	2ms
check topic access:	2ms
track hit:	36ms
get topic data:	8ms
get forum data:	2ms
get page messages:	37ms
get tp. blocked users:	1ms
others:	235ms

total:	339ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы