URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77683
[ Назад ]

Исходное сообщение
"PF и IPFW одновременно"
Отправлено Krom , 03-Дек-07 18:39

Шлюз на FreeBSD 6.1-R.
Используется PF для фильтрации, NAT и прозрачного прокси.
Клиенты из локалки для выхода инет подключаются по PPTP (MPD).
Нужно задействовать IPFW для шейпинга (pipe).
Но тут - засада! Если для пользователя прописаны в IPFW правила
pipe 1 ip from any to any via ng1 in
pipe 1 ip from any to any via ng1 out,
то в инет он доступа не имеет.
Такое впечатление, что после IPFW pipe пакеты не попадают к PF.
Без шейпинга и включённом IPFW с единственным правилом
allow all from any to any
всё работает.
Оба фильтра вкомпилены в ядро.
У кого работает такая связка?

Содержание

PF и IPFW одновременно,Krom, 21:25 , 09-Дек-07
- PF и IPFW одновременно,butcher, 13:29 , 10-Дек-07
  - PF и IPFW одновременно,Krom, 20:37 , 10-Дек-07
    - PF и IPFW одновременно,weldpua2008, 21:31 , 10-Дек-07
      - PF и IPFW одновременно,Krom, 22:24 , 10-Дек-07

Сообщения в этом обсуждении

"PF и IPFW одновременно"
Отправлено Krom , 09-Дек-07 21:25

Разве никто не использует на одной машине PF и IPFW одновременно?

"PF и IPFW одновременно"
Отправлено butcher , 10-Дек-07 13:29

>Разве никто не использует на одной машине PF и IPFW одновременно?
А `ipfw pipe 1 config ...` делать кто будет? :)

"PF и IPFW одновременно"
Отправлено Krom , 10-Дек-07 20:37

>>Разве никто не использует на одной машине PF и IPFW одновременно?
>
>А `ipfw pipe 1 config ...` делать кто будет? :)
Это тоже есть. :)
Проблема в том, что при включённом pipe не срабатывает правило redirect в pf.conf на прокси.
Короче говоря, pipe (IPFW) и rdr (PF) вместе работать не хотят :(

"PF и IPFW одновременно"
Отправлено weldpua2008 , 10-Дек-07 21:31

>>>Разве никто не использует на одной машине PF и IPFW одновременно?
>>
>>А `ipfw pipe 1 config ...` делать кто будет? :)
>
>Это тоже есть. :)
>
>Проблема в том, что при включённом pipe не срабатывает правило redirect в
>pf.conf на прокси.
>Короче говоря, pipe (IPFW) и rdr (PF) вместе работать не хотят :(
>
Смотри в man ipfw
ipfw+pf работают нормально.
Для rdr на прокси надо на какое-то устройство давать права + squid собирать с поддержкой pf.
Это что бы squid именно работал. А так pf нормально работает - у Мну на нем проброс портов был, пока ип-ки не купил :)
Еще можеш определить какой именно фаервол будет первым для приема/отправки работать pf||ipfw
ЗЫ:
У Мну работал ipfw pipe+ipfw заворотн на squid+pf rdr(для проброса портов)

"PF и IPFW одновременно"
Отправлено Krom , 10-Дек-07 22:24

>[оверквотинг удален]
>Для rdr на прокси надо на какое-то устройство давать права + squid
>собирать с поддержкой pf.
>Это что бы squid именно работал. А так pf нормально работает -
>у Мну на нем проброс портов был, пока ип-ки не купил
>:)
>Еще можеш определить какой именно фаервол будет первым для приема/отправки работать pf||ipfw
>
>
>ЗЫ:
>У Мну работал ipfw pipe+ipfw заворотн на squid+pf rdr(для проброса портов)
Squid собран с поддержкой PF. А вот rdr на прокси работает только для тех клиентов, для которых нет правил pipe в ipfw. Если убрать rdr, то у всех всё работает через nat+pf и даже с pipe.
Что касается очереди фильтров, то я уже пробовал оба в ядре и PF как модуль.