https://www.opennet.ru/openforum/vsluhforumID12/6132.html Достался мне шлюз с почтовиком на борту...<br>по желанию хозяина - попросил убрать нат для внутренней сети дабы все ходили через прокси сервер.<br>Я попытался применить правило для единичного компутеря <br>#test<br>block log on $int_if proto tcp from 192.168.0.241 to any port 80<br><br>потом сказал<br>office# /etc/rc.d/./pf reload<br>Reloading pf rules.<br>No ALTQ support in kernel<br>ALTQ related functions disabled<br><br>(Судя по докам - ALTQ в моем случае не нужен - я не собираюсь зажимать канал.)<br><br>Так вот - указанный в правиле комп (192.168.0.241) продолжает ходить в инет- тоесть открываю браузер и тыркаю первую ссылку.<br><br>вот собственно хозяйство<br><br><br>office# ifconfig<br>vr0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=2808&lt;VLAN_MTU,WOL_UCAST,WOL_MAGIC&gt;<br> ether 00:22:b0:50:eb:54<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>nfe0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> ethe https://www.opennet.ru/openforum/vsluhforumID12/6132.html#7 Fri, 17 Jul 2009 06:21:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;слова quick весьма удобно, когда вам требуется сделать несколько правил-исключений. <br>&gt;&gt;<br>&gt;&gt;и в вашем конфиге уже используется с некоторыми правилами <br>&gt;<br>&gt;Да - спасибо - тестовый айпишник перестал ходить через 80 порт. <br>&gt;А вы не подскажете где почитать можно что значить связки <br>&gt;pass in quick on $int_if inet from $int_if:network to any keep state <br>&gt;<br>&gt;что значит keep state, или чем отличаются block drop от block log... <br>&gt;<br><br>странный вопрос, вы не доверяете в этом вопросе поисковикам?<br>что то можно почитать http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-filter<br> https://www.opennet.ru/openforum/vsluhforumID12/6132.html#6 Fri, 17 Jul 2009 04:49:56 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt; pass quick inet proto { tcp, <br>&gt;udp } to any port $udp_services keep state <br>&gt;<br>&gt;Обратите внимание на ключевое слово quick. Если пакет соответствует правилу с этим <br>&gt;ключевым словом то пакет прекращает дальнейшее прохождение по цепочке правил и <br>&gt;к нему применяется то действие, которое указано в правиле. Использование ключегого <br>&gt;слова quick весьма удобно, когда вам требуется сделать несколько правил-исключений. <br>&gt;<br>&gt;и в вашем конфиге уже используется с некоторыми правилами <br><br>Да - спасибо - тестовый айпишник перестал ходить через 80 порт.<br>А вы не подскажете где почитать можно что значить связки <br>pass in quick on $int_if inet from $int_if:network to any keep state<br>что значит keep state, или чем отличаются block drop от block log...<br> https://www.opennet.ru/openforum/vsluhforumID12/6132.html#5 Thu, 16 Jul 2009 11:50:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;так добавление quick помогло? <br>&gt;&gt;<br>&gt;&gt;соединение наверно проходит через правило <br>&gt;&gt;pass in quick on $int_if inet from $int_if:network to any keep state <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;можете попробовать его изменить <br>&gt;<br>&gt; я прошу прощенья - не очень хорошо разбираюсь в пф - <br>&gt;а что значить добавить quick <br><br>ай, ай, ай , как не хорошо лениться, описаний море в том числе и переведенных<br><br><br> pass quick inet proto { tcp, udp } to any port $udp_services keep state<br><br>Обратите внимание на ключевое слово quick. Если пакет соответствует правилу с этим ключевым словом то пакет прекращает дальнейшее прохождение по цепочке правил и к нему применяется то действие, которое указано в правиле. Использование ключегого слова quick весьма удобно, когда вам требуется сделать несколько правил-исключений. <br><br>и в вашем конфиге уже используется с некоторыми правилами<br> https://www.opennet.ru/openforum/vsluhforumID12/6132.html#4 Thu, 16 Jul 2009 11:33:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;шлюз нужен - так-как на тазиках живет софтина которая неумеет через прокси <br>&gt;&gt;ходить <br>&gt;<br>&gt;так добавление quick помогло? <br>&gt;<br>&gt;соединение наверно проходит через правило <br>&gt;pass in quick on $int_if inet from $int_if:network to any keep state <br>&gt;<br>&gt;<br>&gt;можете попробовать его изменить <br><br> я прошу прощенья - не очень хорошо разбираюсь в пф - а что значить добавить quick<br> https://www.opennet.ru/openforum/vsluhforumID12/6132.html#3 Thu, 16 Jul 2009 11:08:09 GMT &gt;&gt;а если quick добавить? <br>&gt;&gt;<br>&gt;&gt;может им адрес шлюза не прописывать? <br>&gt;<br>&gt;шлюз нужен - так-как на тазиках живет софтина которая неумеет через прокси <br>&gt;ходить <br><br>так добавление quick помогло?<br><br>соединение наверно проходит через правило<br>pass in quick on $int_if inet from $int_if:network to any keep state<br><br>можете попробовать его изменить<br> https://www.opennet.ru/openforum/vsluhforumID12/6132.html#2 Thu, 16 Jul 2009 10:33:00 GMT &gt;а если quick добавить? <br>&gt;<br>&gt;может им адрес шлюза не прописывать? <br><br>шлюз нужен - так-как на тазиках живет софтина которая неумеет через прокси ходить<br> https://www.opennet.ru/openforum/vsluhforumID12/6132.html#1 Thu, 16 Jul 2009 07:58:53 GMT а если quick добавить?<br><br>может им адрес шлюза не прописывать?<br>