https://www.opennet.dev/openforum/vsluhforumID1/92245.html Написал свой первый конфиг для PF хотелось бы узнать насколько он надёжен и где допустил упущения, что можно изменить ?<br><br>#1Макросы: Определяемые пользователем переменные, которые могут\<br> содержать адреса IP, имена интерфейсов, и т.д.<br>ext_if="xl0" # внешний интерфейс<br>int_if="em0" # внутренний (локальный) интерфейс<br>int_net="{192.168.137.1/24}" # внутренняя сеть<br>ext_net="{10.0.0.1/21}" #внутренняя сеть Калева<br>me="192.168.137.1"<br>lan_to_int="{ftp,ftp-data,www,https,ssh,smtp,pop3,nntp,8080,ntp,411,5190}"<br><br>#2. Таблицы: Применяются для хранения списков IP адресов<br>#3. Опции: Параметры, влияющие на работу pf<br>#4Scrub: Подготовка пакета к нормализации и дефрагментации<br>#Нормалиация входящего трафика<br>scrub in all<br>#5. Очереди: Обеспечивает управление полосой пропускания и\<br> установку приоритетов пакета.<br>#6. Трансляции: Контроль NAT и перенаправлением пакета<br># разрешаем натить всё, что должно быть снаружи<br>nat on $ext_if from $int_net to any -&gt; ($ext_if)<br>rdr on xl0 proto tcp from any to any po https://www.opennet.dev/openforum/vsluhforumID1/92245.html#6 Wed, 14 Sep 2011 21:13:51 GMT &gt; Да разобраться я уж постараюсь, просто коменты писал для себя, как я <br>&gt; понимаю правила, что бы не запутаться, может если где то неверно <br>&gt; написал, можете отписать как правильно ?Да наверное вы правы, закрою всё <br>&gt; и начну заново ...<br><br>как правильно? не называть теплое холодным и наоборот, хотя бы<br> https://www.opennet.dev/openforum/vsluhforumID1/92245.html#5 Wed, 14 Sep 2011 11:47:21 GMT Да разобраться я уж постараюсь, просто коменты писал для себя, как я понимаю правила, что бы не запутаться, может если где то неверно написал, можете отписать как правильно ?Да наверное вы правы, закрою всё и начну заново ...<br> https://www.opennet.dev/openforum/vsluhforumID1/92245.html#4 Wed, 14 Sep 2011 10:24:05 GMT &gt; Что посоветуешь ? как переписывать правильно всё это дело ?<br><br>кроме чтения документации есть еще и примеры идущие вместе с pf. И я бы посоветовал для начала не городить такой зачастую, бессмысленный набор правил, а начать с block all и постепенно открывать по одному сервису. По ходу дела разберешься сам где накосячил, а комментарии убили, уж лучше бы их совсем не было чем такие<br> https://www.opennet.dev/openforum/vsluhforumID1/92245.html#3 Tue, 13 Sep 2011 06:53:10 GMT &gt; Что посоветуешь ? как переписывать правильно всё это дело ?<br><br>Читать до просветления...<br>ftp://ftp3.usa.openbsd.org/pub/OpenBSD/doc/pf-faq.txt<br>http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+4.5&arch=i386&format=html<br> https://www.opennet.dev/openforum/vsluhforumID1/92245.html#2 Tue, 13 Sep 2011 03:55:27 GMT Что посоветуешь ? как переписывать правильно всё это дело ?<br> https://www.opennet.dev/openforum/vsluhforumID1/92245.html#1 Tue, 13 Sep 2011 01:22:12 GMT &gt;[оверквотинг удален]<br>&gt; www keep state <br>&gt; #Исходящее соединения из внутреннего интерфейса in packs on int_if <br>&gt; # Блокируем все входящие соединения <br>&gt; block in on $int_if from $int_net to $me <br>&gt; pass in on $int_if inet proto tcp from $int_net to $me port <br>&gt; 22 keep state <br>&gt; # Входящее соединения на внутреннеий интерфейс out packs on $int_if <br>&gt; # Разрешаем пинги от нас <br>&gt; pass out on $int_if inet proto icmp from $me to $int_net icmp-type <br>&gt; 8 keep state <br><br>"ничего не понятно" (с)<br>1. что такое<br>&gt; file "/etc/pf.conf", 94 lines <br><br>2. что было до<br>&gt; file "/etc/pf.conf", 94 lines <br><br>3. комментарии непонятны, противоречивы, неполны, бессмысленны:<br>3.1 большинство комментариев непонятны потому, что опущены существенные детали<br>3.2 комментарии противоречат правилам, которые комментируют<br>3.3 отдельные комментарии противоречат сами себе<br>