URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 66390
[ Назад ]

Исходное сообщение
"где не правильно правило 'pf'"
Отправлено skif , 19-Май-06 09:15

помогитет разобраться где я напортачил
не работает вообщее
less /etc/pf.conf
ext_if = "ed0"
table <int_if> persist { dc0 }
table <passip> persist file "/var/stb/etc/pass.ip"
nat on $ext_if from <passip> to any -> ($ext_if)
block out on $ext_if from <int_if> to any
вот до этого момента пашет
дальше нет

tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
udp_services = "{ domain ntp}"
icmp_types = "echoreq"
block all
# razreshaem loopback
pass quick on lo0 all
pass out proto tcp to any port $tcp_services keep state
pass proto udp to any port $udp_services keep state
pass in inet proto tcp from any to any port ssh
pass in inet proto icmp all icmp-type $icmp_types keep state
# allow out the default range for traceroute(:
# "base+nhops*nqueries-1" (33434+64*3-1)
pass out on $ext_if inet proto udp from any to any \
port 33433 >< 33626 keep state
#log blokov smotret' "tcpdump -envi pflog0"
block log all

Содержание

где не правильно правило 'pf',A Clockwork Orange, 11:48 , 19-Май-06
- где не правильно правило 'pf',alk, 12:01 , 19-Май-06
  - где не правильно правило 'pf',skif, 12:30 , 19-Май-06
    - где не правильно правило 'pf',A Clockwork Orange, 12:54 , 19-Май-06
      - где не правильно правило 'pf',skif, 12:56 , 19-Май-06
        
        где не правильно правило 'pf',skif, 11:05 , 22-Май-06
где не правильно правило 'pf',fvl, 11:10 , 22-Май-06
- где не правильно правило 'pf',skif, 13:05 , 22-Май-06
где не правильно правило 'pf',pastorius, 13:25 , 22-Май-06
- где не правильно правило 'pf',skif, 14:00 , 22-Май-06
  - где не правильно правило 'pf',pastorius, 14:22 , 22-Май-06
    - где не правильно правило 'pf',A Clockwork Orange, 14:50 , 22-Май-06
      - где не правильно правило 'pf',skif, 08:40 , 23-Май-06
      - где не правильно правило 'pf',skif, 08:42 , 23-Май-06
        
        где не правильно правило 'pf',A Clockwork Orange, 08:53 , 23-Май-06
        
        где не правильно правило 'pf',skif, 12:34 , 23-Май-06
где не правильно правило 'pf',pastorius, 09:55 , 23-Май-06
- где не правильно правило 'pf',skif, 10:53 , 23-Май-06

Сообщения в этом обсуждении

"где не правильно правило 'pf'"
Отправлено A Clockwork Orange , 19-Май-06 11:48

есть ключит проверить правила но не загружать, чего0нибудь показывает
udp_services = "{ domain ntp}" запятая тут ненужна?

"где не правильно правило 'pf'"
Отправлено alk , 19-Май-06 12:01

>есть ключит проверить правила но не загружать, чего0нибудь показывает
>udp_services = "{ domain ntp}" запятая тут ненужна?
тут можно и запятую и без запятой - все это будет работать
в конфиг особо не втыкал - при загрузке правил - на какую строчку ругается?

"где не правильно правило 'pf'"
Отправлено skif , 19-Май-06 12:30

>>есть ключит проверить правила но не загружать, чего0нибудь показывает
>>udp_services = "{ domain ntp}" запятая тут ненужна?
>
>тут можно и запятую и без запятой - все это будет работать
>
>в конфиг особо не втыкал - при загрузке правил - на какую
>строчку ругается?

не на что не ругается просто никого ни куда не пускает
мне кажется я напутал
с порядком правил

"где не правильно правило 'pf'"
Отправлено A Clockwork Orange , 19-Май-06 12:54

nat не нужен?

"где не правильно правило 'pf'"
Отправлено skif , 19-Май-06 12:56

>nat не нужен?
нужен

"где не правильно правило 'pf'"
Отправлено skif , 22-Май-06 11:05

ну народ ну помогите
чета вообще не получается :(

"где не правильно правило 'pf'"
Отправлено fvl , 22-Май-06 11:10

>помогитет разобраться где я напортачил
>не работает вообщее
>less /etc/pf.conf
>
>ext_if = "ed0"
>table <int_if> persist { dc0 }
>table <passip> persist file "/var/stb/etc/pass.ip"
>
>nat on $ext_if from <passip> to any -> ($ext_if)
>block out on $ext_if from <int_if> to any
>
>вот до этого момента пашет
>дальше нет
>
>tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
>
>udp_services = "{ domain ntp}"
>icmp_types = "echoreq"
>
>block all
># razreshaem loopback
>pass quick on lo0 all
>
>pass out proto tcp to any port $tcp_services keep state
from ?
>pass proto udp to any port $udp_services keep state
>pass in inet proto tcp from any to any port ssh
>pass in inet proto icmp all icmp-type $icmp_types keep state
>
># allow out the default range for traceroute(:
># "base+nhops*nqueries-1" (33434+64*3-1)
>pass out on $ext_if inet proto udp from any to any \
>
>port 33433 >< 33626 keep state
>#log blokov smotret' "tcpdump -envi pflog0"
>block log all

"где не правильно правило 'pf'"
Отправлено skif , 22-Май-06 13:05

а в порядке правил нету ошибки ??
нат не надо ниже?

"где не правильно правило 'pf'"
Отправлено pastorius , 22-Май-06 13:25

>помогитет разобраться где я напортачил
>не работает вообщее
>less /etc/pf.conf
>
>ext_if = "ed0"
>table <int_if> persist { dc0 }
>table <passip> persist file "/var/stb/etc/pass.ip"
>
>nat on $ext_if from <passip> to any -> ($ext_if)
>block out on $ext_if from <int_if> to any
>
>вот до этого момента пашет
>дальше нет
>
>tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
>
>udp_services = "{ domain ntp}"
>icmp_types = "echoreq"
>
>block all
># razreshaem loopback
>pass quick on lo0 all
>
>pass out proto tcp to any port $tcp_services keep state
>pass proto udp to any port $udp_services keep state
>pass in inet proto tcp from any to any port ssh
>pass in inet proto icmp all icmp-type $icmp_types keep state
>
># allow out the default range for traceroute(:
># "base+nhops*nqueries-1" (33434+64*3-1)
>pass out on $ext_if inet proto udp from any to any \
>
>port 33433 >< 33626 keep state
>#log blokov smotret' "tcpdump -envi pflog0"
>block log all

http://dreamcatcher.ru/docs/pf.html для общего развития
СНАЧАЛА всё запрещаем, а потом разрешаем что нужно

"где не правильно правило 'pf'"
Отправлено skif , 22-Май-06 14:00

народ ну что вы издеваетесь делал все по это ссылке ...
еще напишите man pf :)
читал составил
если кто то точно понимает чьто не так исправте плиз?

"где не правильно правило 'pf'"
Отправлено pastorius , 22-Май-06 14:22

>народ ну что вы издеваетесь делал все по это ссылке ...
>еще напишите man pf :)
>читал составил
>если кто то точно понимает чьто не так исправте плиз?

посмотри на самое последнее своё правило и прочитай ещё раз по ссылке, дело в том что pf работает иначе чем ipfw, он просматривает ВСЕ правила и применяет последнее совпавшее

"где не правильно правило 'pf'"
Отправлено A Clockwork Orange , 22-Май-06 14:50

последее block log all убери вообще.
если надо нат, сделай правило для него

"где не правильно правило 'pf'"
Отправлено skif , 23-Май-06 08:40

>если надо нат, сделай правило для него
а это что тогда?:)
nat on $ext_if from <passip> to any -> ($ext_if)

"где не правильно правило 'pf'"
Отправлено skif , 23-Май-06 08:42

>последее block log all убери вообще.
убрал все равно ниче не пашет

"где не правильно правило 'pf'"
Отправлено A Clockwork Orange , 23-Май-06 08:53

ext_if = "ed0"
table <int_if> persist { dc0 }
table <passip> persist file "/var/stb/etc/pass.ip"
tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
udp_services = "{ domain ntp}"
icmp_types = "echoreq"
nat on $ext_if from <passip> to any -> ($ext_if)
#block out on $ext_if from <int_if> to any

block log all
# razreshaem loopback
pass quick on lo0 all
pass in  on dc0 all
pass out on dc0 all
pass out on ed0 proto tcp to any port $tcp_services keep state
pass in  on ed0 proto tcp from any to any port ssh keep state
pass out on ed0 proto udp to any port $udp_services keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
# allow out the default range for traceroute(:
# "base+nhops*nqueries-1" (33434+64*3-1)
pass out on $ext_if inet proto udp from any to any \
  port 33433 >< 33626 keep state
#log blokov smotret' "tcpdump -envi pflog0"
а так?

"где не правильно правило 'pf'"
Отправлено skif , 23-Май-06 12:34

>ext_if = "ed0"
>table <int_if> persist { dc0 }
>table <passip> persist file "/var/stb/etc/pass.ip"
>
>tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
>
>udp_services = "{ domain ntp}"
>icmp_types = "echoreq"
>
>nat on $ext_if from <passip> to any -> ($ext_if)
> #block out on $ext_if from <int_if> to any
>
>
>block log all
># razreshaem loopback
>pass quick on lo0 all
>
>pass in  on dc0 all
>pass out on dc0 all
>
>pass out on ed0 proto tcp to any port $tcp_services keep state
>
>pass in  on ed0 proto tcp from any to any port
>ssh keep state
>
>pass out on ed0 proto udp to any port $udp_services keep state
>
>pass in inet proto icmp all icmp-type $icmp_types keep state
>
># allow out the default range for traceroute(:
># "base+nhops*nqueries-1" (33434+64*3-1)
>pass out on $ext_if inet proto udp from any to any \
>
>  port 33433 >< 33626 keep state
>#log blokov smotret' "tcpdump -envi pflog0"
>
>а так?

так работает но
block out on $ext_if from <int_if> to any
хотелось бы
и еще pptp чет не пускает

"где не правильно правило 'pf'"
Отправлено pastorius , 23-Май-06 09:55

>помогитет разобраться где я напортачил
>не работает вообщее
что конкретно не работает?
>less /etc/pf.conf
>
>ext_if = "ed0"
>table <int_if> persist { dc0 }
>table <passip> persist file "/var/stb/etc/pass.ip"
>
>nat on $ext_if from <passip> to any -> ($ext_if)
>block out on $ext_if from <int_if> to any
>
>вот до этого момента пашет
>дальше нет
как определил?
>tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
>
>udp_services = "{ domain ntp}"
>icmp_types = "echoreq"
>
>block all
># razreshaem loopback
>pass quick on lo0 all
>
>pass out proto tcp to any port $tcp_services keep state
>pass proto udp to any port $udp_services keep state
>pass in inet proto tcp from any to any port ssh
>pass in inet proto icmp all icmp-type $icmp_types keep state
>
># allow out the default range for traceroute(:
># "base+nhops*nqueries-1" (33434+64*3-1)
>pass out on $ext_if inet proto udp from any to any \
>
>port 33433 >< 33626 keep state
>#log blokov smotret' "tcpdump -envi pflog0"
>block log all

вот тебе ещё одна ссылочка на готовый конфиг, проанализируй как там сделано
http://www.openbsd.ru/files/etc/pf.conf

"где не правильно правило 'pf'"
Отправлено skif , 23-Май-06 10:53

>>помогитет разобраться где я напортачил
>>не работает вообщее
>
>что конкретно не работает?
ничего:)не работает
>
>>less /etc/pf.conf
>>
>>ext_if = "ed0"
>>table <int_if> persist { dc0 }
>>table <passip> persist file "/var/stb/etc/pass.ip"
>>
>>nat on $ext_if from <passip> to any -> ($ext_if)
>>block out on $ext_if from <int_if> to any
>>
>>вот до этого момента пашет
>>дальше нет
>
>как определил?
все нижнее срезал все до этого работает
хотелось просто более по уму сделать
>
>>tcp_services = "{ ssh, smtp, pptp, domain, www, pop3, auth, pop3s }"
>>
>>udp_services = "{ domain ntp}"
>>icmp_types = "echoreq"
>>
>>block all
>># razreshaem loopback
>>pass quick on lo0 all
>>
>>pass out proto tcp to any port $tcp_services keep state
>>pass proto udp to any port $udp_services keep state
>>pass in inet proto tcp from any to any port ssh
>>pass in inet proto icmp all icmp-type $icmp_types keep state
>>
>># allow out the default range for traceroute(:
>># "base+nhops*nqueries-1" (33434+64*3-1)
>>pass out on $ext_if inet proto udp from any to any \
>>
>>port 33433 >< 33626 keep state
>>#log blokov smotret' "tcpdump -envi pflog0"
>>block log all
>
>
>вот тебе ещё одна ссылочка на готовый конфиг, проанализируй как там сделано
>
>http://www.openbsd.ru/files/etc/pf.conf
спасибки