как с помощью можно Pf фильтровать HTTPS, хотя бы по доменам (особенно если учесть что могут быть еще поддомены, и по несколько ипов на домен)
прокси не подходит, а в прозрачном режиме хттпс не работает.
> как с помощью можно Pf фильтровать HTTPS, хотя бы по доменам (особенно
> если учесть что могут быть еще поддомены, и по несколько ипов
> на домен)
> прокси не подходит, а в прозрачном режиме хттпс не работает.HTTPS -> port 443
# Пропустить входящий трафик на интерфейс dc0 из локальной сети 192.168.0.0/24,
# на OpenBSD машину с IP адресом 192.168.0.1. Также пропустить возвращающийся
# трафик, выходящий на интерфейс dc0pass in on dc0 from 192.168.0.0/24 to 192.168.0.1
pass out on dc0 from 192.168.0.1 to 192.168.0.0/24
# Пропустить входящий TCP трафик на интерфейс fxp0 на веб сервер, запущенный
# на OpenBSD машине. Интерфейс под названием fxp0 используется, как адрес
# назначения, поэтому пакеты будут соответствовать только этому правилу если
# они предназначены OpenBSD машинеpass in on fxp0 proto tcp from any to fxp0 port www
...далее по вкусу
вырезано
> ...далее по вкусуможет не так выразился.
мне надо дать клиентам нат, на хттпс, на определенный список доменов\урлов
> вырезано
>> ...далее по вкусу
> может не так выразился.
> мне надо дать клиентам нат, на хттпс, на определенный список доменов\урловman ipnat
> man ipnatчто то я тут фильтрации не нашел, кроме как по ипам...
> как с помощью можно Pf фильтровать HTTPS, хотя бы по доменам (особенно
> если учесть что могут быть еще поддомены, и по несколько ипов
> на домен)
> прокси не подходит, а в прозрачном режиме хттпс не работает.а в чем проблема то ?
pf умеет резольвить ір-адреса по днс-имени.
можно натить только один 443 порт
можно писать например permit tcp from any to www.google.com port 443
можно создать файлик со списком сайтов и подгружать как табличку в PFединственное ограничение, на сколько я знаю, резольвинг происходит при загрузке правил
> единственное ограничение, на сколько я знаю, резольвинг происходит при загрузке правилвот как раз в этом :)
причем он берет только 1й ип отданый ему днсом, если у сайта их много..
>> единственное ограничение, на сколько я знаю, резольвинг происходит при загрузке правил
> вот как раз в этом :)
> причем он берет только 1й ип отданый ему днсом, если у сайта
> их много..резолвте сами и пихайте в таблицу
> причем он берет только 1й ип отданый ему днсом, если у сайта
> их много..Неправда, по-умолчанию (имя без суффикса :0) используется все IP.
bash-4.1# echo "pass from www.google.com"|pfctl -nvsr -f -
pass inet from 74.125.232.48 to any flags S/SA keep state
pass inet from 74.125.232.49 to any flags S/SA keep state
pass inet from 74.125.232.50 to any flags S/SA keep state
pass inet from 74.125.232.51 to any flags S/SA keep state
pass inet from 74.125.232.52 to any flags S/SA keep state
>> причем он берет только 1й ип отданый ему днсом, если у сайта
>> их много..
> Неправда, по-умолчанию (имя без суффикса :0) используется все IP.
> bash-4.1# echo "pass from www.google.com"|pfctl -nvsr -f -
> pass inet from 74.125.232.48 to any flags S/SA keep state
> pass inet from 74.125.232.49 to any flags S/SA keep state
> pass inet from 74.125.232.50 to any flags S/SA keep state
> pass inet from 74.125.232.51 to any flags S/SA keep state
> pass inet from 74.125.232.52 to any flags S/SA keep stateа можно правило которым добавляли и версию ос и pf узнать?
> а можно правило которым добавляли и версию ос и pf узнать?Ни вопрос) Но на самом деле это ни важно - pfctl в этом месте почти с рождения не менялся.
[root@inetserv /usr/home/guest]# uname -a
FreeBSD inetserv.xxxxxxxx.msk.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May 1 08:49:13 UTC 2009 root@walker.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386>> bash-4.1# echo "pass from www.google.com"|pfctl -nvsr -f -
Вы про какое правило???
про>>> "pass from www.google.com"
> про
>>>> "pass from www.google.com"Простите, но я вас не понимаю что-то)
Чем вас собственно эта строчка не устраивает? Или просто не заметили в 1й раз?
>> про
>>>>> "pass from www.google.com"
> Простите, но я вас не понимаю что-то)
> Чем вас собственно эта строчка не устраивает? Или просто не заметили в
> 1й раз?у меня не получается его добавить с консоли, если прописываю в загрузочный скрипт - добавляется, но не буду же каждый раз загрузочный скрипт перезапускать....
> у меня не получается его добавить с консоли, если прописываю в загрузочный
> скрипт - добавляется, но не буду же каждый раз загрузочный скрипт
> перезапускать....К сожалению pfctl не позволяет добавить правило, можно только заменить все/отдельный анкор.
Но есть возможность добавлять/удалять адреса в таблицах.
Касательно начало топика имхо у вас 2 варианта:
1. По крону строить таблицу с адресами нужных https хостов
2. Сделать анкор для https и по крону перегружать его.Покажите, что именно вы пытаетесь сделать.
>> у меня не получается его добавить с консоли, если прописываю в загрузочный
>> скрипт - добавляется, но не буду же каждый раз загрузочный скрипт
>> перезапускать....
> К сожалению pfctl не позволяет добавить правило, можно только заменить все/отдельный анкор.
> Но есть возможность добавлять/удалять адреса в таблицах.
> Касательно начало топика имхо у вас 2 варианта:
> 1. По крону строить таблицу с адресами нужных https хостов
> 2. Сделать анкор для https и по крону перегружать его.
> Покажите, что именно вы пытаетесь сделать.мне надо что бы нат 443 порт был разрешен только на определенные домены,
насколько понимаю - надо сделать таблицу, и по крону ее обновлять...
т.е. одно правило, разрешающее хождение в ипы в таблице...а что такое анкор?
> а что такое анкор?я имел ввиду anchor, если вас коробит от такой кальки, то могу писать "якорь")
>> а что такое анкор?
> я имел ввиду anchor, если вас коробит от такой кальки, то могу
> писать "якорь")все еще проще :) я просто только изучаю pf :)
потому для меня это еще сложно...
> все еще проще :) я просто только изучаю pf :)в опеньковом FAQ по pf есть глава про якоря с примерами.