OpenForum RSS: pf - обозначить подсеть за исключением одного адреса https://slinkov.ru/openforum/vsluhforumID10/3732.html Есть две подсети - 192.168.1.0/24 и 192.168.2.0/24. В подсети 192.168.2.0 есть некоторый хост 192.168.2.20<br>Нужно разрешить весь трафик между подсетями за исключением трафика на хост 192.168.2.0 - для этого хоста будут свои правила.<br><br>Т. е. нужно записать что-то вроде<br><br>block all<br>pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , 192.168.2.0/24 }<br>pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } to 192.168.1.0/24<br># Ниже правила для 192.168.2.20<br>pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep state<br>.......<br><br>Но естественно так не будет работать.<br><br><br><br> pf - обозначить подсеть за исключением одного адреса (shutdown now) https://slinkov.ru/openforum/vsluhforumID10/3732.html#4 Mon, 05 May 2008 22:54:11 GMT &gt;[оверквотинг удален]<br>&gt;pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , <br>&gt;192.168.2.0/24 } <br>&gt;pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } <br>&gt;to 192.168.1.0/24 <br>&gt;# Ниже правила для 192.168.2.20 <br>&gt;pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep <br>&gt;state <br>&gt;....... <br>&gt;<br>&gt;Но естественно так не будет работать. <br><br>сделай таблицу:<br>table net2_20 {!192.168.2.20 192.168.2.0/24 }<br><br>pass quick on $int_if inet from 192.168.1.0/24 to &lt;net2_20&gt;<br>pass quick on $int_if inet from &lt;net2_20&gt; to 192.168.1.0/24<br><br> <br> pf - обозначить подсеть за исключением одного адреса (kls) https://slinkov.ru/openforum/vsluhforumID10/3732.html#3 Tue, 15 Apr 2008 10:37:50 GMT а если так попробовать?<br><br>&gt;block all<br><br>#здесь правила для 192.168.2.20 (обязательно с quick) <br><br>block quick on $int_if inet from 192.168.1.0/24 to 192.168.2.20<br>pass quick on $int_if inet from 192.168.1.0/24 to { 192.168.2.0/24 }<br>block quick on $int_if inet from 192.168.2.20 to 192.168.1.0/24<br>pass quick on $int_if inet from { 192.168.2.0/24 } to 192.168.1.0/24<br><br><br> pf - обозначить подсеть за исключением одного адреса (tungus) https://slinkov.ru/openforum/vsluhforumID10/3732.html#2 Thu, 03 Apr 2008 07:44:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep <br>&gt;&gt;pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , <br>&gt;&gt;192.168.2.0/24 } <br>&gt;&gt;pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } <br>&gt;&gt;to 192.168.1.0/24 <br>&gt;&gt;state <br>&gt;&gt;....... <br>&gt;&gt;Но естественно так не будет работать. <br>&gt;<br>&gt;по логике так должно работать... <br><br>Не работает потому что распишется как <br>pass quick on $int_if inet from 192.168.1.0/24 to ! 192.168.2.20<br>pass quick on $int_if inet from 192.168.1.0/24 to 192.168.2.0/24<br>pass quick on $int_if inet from ! 192.168.2.20 to 192.168.1.0/24<br>pass quick on $int_if inet from 192.168.2.0/24 to 192.168.1.0/24<br><br>Т. е. трафик c/на 192.168.2.20 будет пропускаться вторым и четвертым правилом.<br> pf - обозначить подсеть за исключением одного адреса (Vaso_Petrovich) https://slinkov.ru/openforum/vsluhforumID10/3732.html#1 Thu, 03 Apr 2008 05:12:25 GMT <br>&gt;block all <br>&gt;# Ниже правила для 192.168.2.20 <br>&gt;pass on $int_if inet from 192.168.1.0/24 to 192.168.2.20 port ftp S/SA keep <br>&gt;pass quick on $int_if inet from 192.168.1.0/24 to { ! 192.168.2.20 , <br>&gt;192.168.2.0/24 } <br>&gt;pass quick on $int_if inet from { ! 192.168.2.20 , 192.168.2.0/24 } <br>&gt;to 192.168.1.0/24 <br>&gt;state <br>&gt;....... <br>&gt;Но естественно так не будет работать. <br><br>по логике так должно работать...<br><br>