URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4152
[ Назад ]

Исходное сообщение
"Ошибка PF"

Отправлено Voronok , 22-Июн-06 19:06 
Поставил на шлюз PF, настроил правила, пока из локалки во внешний мир всё натится и всё пропускается. Обратно тоже. До этого стоял IPFW. Возникла проблема, при загрузке системы (FreeBSD 6.0 RELEASE)появляются сообщения об ошибке:

Jun 21 22:05:35 pflogd[285]: syntax error
Jun 21 22:05:35 pflogd[285]: [priv]: msg PRIV_OPEN_LOG received
Jun 21 22:05:35 pflogd[294]: syntax error
Jun 21 22:05:35 pflogd[294]: [priv]: msg PRIV_OPEN_LOG received

Что бы это значило?

И еще, не знаю, связано это или нет, но после установки PF не могу соедениться по SSH.
Когда коннектюсь с помошью PuTTY из локалки, появляется приглашение:
login as:
ввожу логин, жму интер и ничего не происходит, только через некоторое время появляется окошко с надписью: Server unexpectedly closed network connection.

Лог PuTTY:
2006-06-22 18:57:23    Looking up host "192.168.0.5"
2006-06-22 18:57:23    Connecting to 192.168.0.5 port 22
2006-06-22 18:57:23    Server version: SSH-2.0-OpenSSH_4.2p1 FreeBSD-20050903
2006-06-22 18:57:23    We claim version: SSH-2.0-PuTTY_Release_0.58
2006-06-22 18:57:23    Using SSH protocol version 2
2006-06-22 18:57:23    Doing Diffie-Hellman group exchange
2006-06-22 18:57:23    Doing Diffie-Hellman key exchange
2006-06-22 18:57:23    Host key fingerprint is:
2006-06-22 18:57:23    ssh-dss 2048 5c:ba:bf:11:a2:38:e7:c9:14:27:6a:7f:98:cf:f7:0c
2006-06-22 18:57:23    Initialised AES-256 client->server encryption
2006-06-22 18:57:23    Initialised HMAC-SHA1 client->server MAC algorithm
2006-06-22 18:57:23    Initialised AES-256 server->client encryption
2006-06-22 18:57:23    Initialised HMAC-SHA1 server->client MAC algorithm
2006-06-22 18:59:23    Server unexpectedly closed network connection

На шлюзе в это время появляется сообщение:
Jun 22 18:59:25 Inet-server sshd[581]: fatal: Timeout before authentication for 192.168.0.115

Если кто знает, в чем может быть дело, подскажите, плиз. Когда стоял IPFW этого ничего не было.


Содержание

Сообщения в этом обсуждении
"Ошибка PF"
Отправлено Adil_18 , 23-Июн-06 12:35 
>Поставил на шлюз PF, настроил правила, пока из локалки во внешний мир
>всё натится и всё пропускается. Обратно тоже. До этого стоял IPFW.
>Возникла проблема, при загрузке системы (FreeBSD 6.0 RELEASE)появляются сообщения об ошибке:
>
>
>Jun 21 22:05:35 pflogd[285]: syntax error
>Jun 21 22:05:35 pflogd[285]: [priv]: msg PRIV_OPEN_LOG received
>Jun 21 22:05:35 pflogd[294]: syntax error
>Jun 21 22:05:35 pflogd[294]: [priv]: msg PRIV_OPEN_LOG received
>
>Что бы это значило?
>
>И еще, не знаю, связано это или нет, но после установки PF
>не могу соедениться по SSH.
>Когда коннектюсь с помошью PuTTY из локалки, появляется приглашение:
>login as:
>ввожу логин, жму интер и ничего не происходит, только через некоторое время
>появляется окошко с надписью: Server unexpectedly closed network connection.
>
>Лог PuTTY:
>2006-06-22 18:57:23 Looking up host "192.168.0.5"
>2006-06-22 18:57:23 Connecting to 192.168.0.5 port 22
>2006-06-22 18:57:23 Server version: SSH-2.0-OpenSSH_4.2p1 FreeBSD-20050903
>2006-06-22 18:57:23 We claim version: SSH-2.0-PuTTY_Release_0.58
>2006-06-22 18:57:23 Using SSH protocol version 2
>2006-06-22 18:57:23 Doing Diffie-Hellman group exchange
>2006-06-22 18:57:23 Doing Diffie-Hellman key exchange
>2006-06-22 18:57:23 Host key fingerprint is:
>2006-06-22 18:57:23 ssh-dss 2048 5c:ba:bf:11:a2:38:e7:c9:14:27:6a:7f:98:cf:f7:0c
>2006-06-22 18:57:23    Initialised AES-256 client->server encryption
>2006-06-22 18:57:23    Initialised HMAC-SHA1 client->server MAC algorithm
>2006-06-22 18:57:23    Initialised AES-256 server->client encryption
>2006-06-22 18:57:23    Initialised HMAC-SHA1 server->client MAC algorithm
>2006-06-22 18:59:23 Server unexpectedly closed network connection
>
>На шлюзе в это время появляется сообщение:
>Jun 22 18:59:25 Inet-server sshd[581]: fatal: Timeout before authentication for 192.168.0.115
>
>Если кто знает, в чем может быть дело, подскажите, плиз. Когда стоял
>IPFW этого ничего не было.

pf pravila davay suda


"Ошибка PF"
Отправлено Voronok , 23-Июн-06 13:57 

>pf pravila davay suda


Я, кажется, немного разобрался. Ошибки больше не выводятся, но остается проблема с SSH. Я ее немного выловил, вот мои правила pf:


ext_if="rl1"
int_if="rl0"
lan_net="192.168.0.0/24"
internal_net="192.168.0.0/24"
external_addr="195.196.197.198"

scrub in all

nat pass on $ext_if from $internal_net to any -> ($ext_if)

rdr pass on $ext_if from any to any  -> $lan_net


pass in all
pass out all

##Обратите внимание на следующие два правила!##
pass out any to any
pass any to any
####################################

pass in  on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net

Так вот, когда я перезагружаюсь с этими двумя правилами, доступа к интернету из локалки нет, зато есть доступ к шлюзу по SSH и у самого шлюза есть доступ в интернет. Но! Когда я пытаюсь загрузить эти правила командой
pfctl -f /etc/pf.conf, то выдается следуюющее:
/etc/pf.conf:18: syntax error
pfctl: Syntax error in config file: pf rules not loaded
Это как раз номер строки с первым правилом. Если я его удаляю, то ту же ошибку выдает на втором правиле.

Когда я перезагружаюсь без этих двух правил, то доступ к интернету из локалки есть. Зато нет доступа к шлюзу по SSH и у самого шлюза нет доступа к интернету. И по команде
pfctl -f /etc/pf.con эти правила нормально загружаются.

Подскажите, что тут не так?


"Ошибка PF"
Отправлено alfss , 26-Июн-06 11:10 
>
>>pf pravila davay suda
>
>
>Я, кажется, немного разобрался. Ошибки больше не выводятся, но остается проблема с
>SSH. Я ее немного выловил, вот мои правила pf:
>
>
>ext_if="rl1"
>int_if="rl0"
>lan_net="192.168.0.0/24"
>internal_net="192.168.0.0/24"
>external_addr="195.196.197.198"
>
>scrub in all
>
>nat pass on $ext_if from $internal_net to any -> ($ext_if)
>
>rdr pass on $ext_if from any to any  -> $lan_net
>
>
>pass in all
>pass out all
>
>##Обратите внимание на следующие два правила!##
>pass out any to any
>pass any to any
>####################################
>
>pass in  on $int_if from $lan_net to any
>pass out on $int_if from any to $lan_net
>
>Так вот, когда я перезагружаюсь с этими двумя правилами, доступа к интернету
>из локалки нет, зато есть доступ к шлюзу по SSH и
>у самого шлюза есть доступ в интернет. Но! Когда я пытаюсь
>загрузить эти правила командой
>pfctl -f /etc/pf.conf, то выдается следуюющее:
>/etc/pf.conf:18: syntax error
>pfctl: Syntax error in config file: pf rules not loaded
>Это как раз номер строки с первым правилом. Если я его удаляю,
>то ту же ошибку выдает на втором правиле.
>
>Когда я перезагружаюсь без этих двух правил, то доступ к интернету из
>локалки есть. Зато нет доступа к шлюзу по SSH и у
>самого шлюза нет доступа к интернету. И по команде
>pfctl -f /etc/pf.con эти правила нормально загружаются.
>
>Подскажите, что тут не так?

ext_if="rl1"
int_if="rl0"
seti="{192.168.0.0/24 10.0.0.0/24}"
ports_me="{80 82 8080 3128 443 5190 53 110 imap imaps 139 445 \
25 21 20 8021 2106 7777 22 3306 995 13 37 465 >=10000}"
nat on $exit_if from $seti -> ($ext_if)
block in
pass on lo0 all
pass out keep state
pass in on {$int_if} inet proto icmp from $seti to any keep state
pass in on {$int_if}proto {tcp udp} from $seti to any port $ports_me keep state


"Ошибка PF"
Отправлено Voronok , 27-Июн-06 10:08 

>ext_if="rl1"
>int_if="rl0"
>seti="{192.168.0.0/24 10.0.0.0/24}"
>ports_me="{80 82 8080 3128 443 5190 53 110 imap imaps 139 445
>\
>25 21 20 8021 2106 7777 22 3306 995 13 37 465 >=10000}"
>nat on $exit_if from $seti -> ($ext_if)
>block in
>pass on lo0 all
>pass out keep state
>pass in on {$int_if} inet proto icmp from $seti to any keep
>state
>pass in on {$int_if}proto {tcp udp} from $seti to any port $ports_me
>keep state

alfss, спасибо! Очень наглядный пример.