URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 61754
[ Назад ]

Исходное сообщение
"PF и пару вопросов"
Отправлено fvl , 14-Ноя-05 09:11

Вообщем решил тут поизучать PF.
Есть рутер на FreeBSD 6.0
У него три интерфейса:
1. fxp0(10.0.0.12/24) - внутренний
2. rl0(192.168.10.2/29) - связь с модемом ADSL он в качестве моста
3. rl1(192.168.12.24/24) - второй пров по выделенке
4. tun0(192.168.15.1<->192.168.15.2) - туннель PPPoE до прова
На серваке крутятся стандартные там всякие сервисы...
Во внутренней сетке есть клиенты которым нужен доступ
только к Томской сети, и есть к кому нужен доступ в полный инет.
Все клиенты должны ходить через прова на выделенке, тоесть через rl1
Почта принимается и отдается клиентам с IP туннеля тоесть на локальном
IP tun0
Родился у меня вот такой конфиг, незнаю правильно или нет, прокоментируйте...
### Макросы
##
#
Tomline_If="rl0"
Telecom_If="tun0"
Modem_If="rl1"
Int_If="fxp0"
Ext_If="rl0"
#
Int_Net="10.0.0.0/24"
Int_Gw="10.0.0.12"
Ext_Gw_Ip="192.168.12.24"
Telecom_Gw_Ip="192.168.15.1"
#
AllowExtPorts="20,21,22,23,25,53,80,110,143,443,3146,3389,6112,5190,8000,8080,6667,6669"
#
AllowIntPorts="20,21,25,53,80,110,143"
### Таблицы
##
#
table <tomsknets> persist file "/usr/local/etc/tomsknets" # Таблица томских сетей
table <allnetnat> persist file "/usr/local/etc/allnetnat" # Таблица IP для полного доступа к инету
tbale <tomsknetnat> persist file "/usr/local/etc/tomsknetnat" # Таблица IP для доступа только к томским сетям
### Опции запуска
##
#
set block-policy drop
set log-interface rl0
### Нормализация
##
#
scrub in all
### Очереди
##
#
altq on $Ext_If cbq bandwith 100% queue { server, tomsknet, allnet }
queue server bandwith 30% cbq(borrow red)
queue allnet bandwith 20% cbq(borrow red)
queue tomsknet bandwith 50% cbq(borrow red)
### Трансляция
##
#
nat on interface $Int_If inet from <allnetnat> to any port $AllowExtPorts -> $Ext_If
nat on interface $Int_If inet from <tomsknetnat> to <tomsknets> port $AllowExtPorts > $Ext_If
### Фильтрация
##
#
block in all
block out all
pass in quick on lo0 all
antispoof for $Tomline_If inet
antispoof for $Telecom_If inet
antispoof for $Modem_If inet
antispoof for $Int_If inet
#
pass in quick on interface $Modem_If
# Пропускаем траффик на интерфейсах rl0 и ppp0
pass in quick on $Ext_If from any to $Ext_Gw_Ip port $AllowIntPorts synproxy state queue server
pass in quick on $Telecom_If from any to $Telecom_Gw_Ip port $AllowIntPorts synproxy state
# Для интерфейса fxp0
pass in quick on $Int_If from $Int_Net to $Int_Gw synproxy state
###
pass in quick on $Int_If from <allnetnat> to any port $AllowExtPorts synproxy state queue allnet
pass in quick on $Int_If from <tomsknetnat> to any port $AllowExtPorts synproxy state queue tomsknet
pass in quick on $Telecom_Of from $Int_Net to $Telecom_Gw_Ip synproxy state

Содержание

PF и пару вопросов,fvl, 14:26 , 14-Ноя-05
- PF и пару вопросов,rootkid, 02:05 , 18-Ноя-05

Сообщения в этом обсуждении

"PF и пару вопросов"
Отправлено fvl , 14-Ноя-05 14:26

Неужели нету шарящих в pf?

"PF и пару вопросов"
Отправлено rootkid , 18-Ноя-05 02:05

>Неужели нету шарящих в pf?

а где собственно пара вопросов?) что-то может не работает или не так работает как надо? вы конфиг то этот пробовали?