forum.opennet.ru - "Правила фильтрации пакетов..." (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Правила фильтрации пакетов..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Правила фильтрации пакетов..."
Сообщение от Shaokoa on 08-Авг-06, 21:58
Решил использовать в качестве пакетного фильтра PF. Пишу правила для него.. и застопарился на такой фиче: надо задать правио для доступа клиентов из сети к ВПН-серверу на роутере( МПД-3.18_4) Я так понимаю что оно должно быть такого плана : pass in on $int_if inet proto ??? from $internal_net to $me port ??? keep state сетевой протокол видимо TCP, но я перестрахуюсь и переспрашу... А какой порт? или как создать такую конструкцию?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Правила фильтрации пакетов..., Shaokoa, 13:07 , 09-Авг-06, (1)

Правила фильтрации пакетов..., гость, 13:38 , 09-Авг-06, (2)
Правила фильтрации пакетов..., Graf, 13:48 , 09-Авг-06, (3)

Правила фильтрации пакетов..., Shaokoa, 19:26 , 09-Авг-06, (4)

Правила фильтрации пакетов..., Shaokoa, 21:05 , 09-Авг-06, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "Правила фильтрации пакетов..."

Сообщение от Shaokoa on 09-Авг-06, 13:07

При создании ВПН-соединения  в Outpost-e пишуться что задействованы такие порты:
svchost.exe    localhost    123    UDP
svchost.exe    localhost    1900    UDP
system    localhost    PPTP    TCP
svchost.exe    localhost    123    UDP
system    localhost    1942    TCP
svchost.exe    localhost    123    UDP
svchost.exe    localhost    123    UDP
как эти данны правильно впихнуть в правило пакетного фильтра PF на Фрее?
Если его написать таким образом, будет ли это правильно?
pass in on $int_if inet proto INET from $internal_net to $me port PPTP keep state
INET - подразумевает что протокол буде использоваться как ТСП, так и УДП ( ИЦМП - не учитываем)
PPTP - будет браться из списка /etc/services  если я не ошибаюсь...
Скажите свой вердикт - ГУРУ....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Правила фильтрации пакетов..."

Сообщение от гость on 09-Авг-06, 13:38

>Если его написать таким образом, будет ли это правильно?
>pass in on $int_if inet proto INET from $internal_net to $me port PPTP keep state
там ещё задействован протокол GRE
pass in on $int_if inet proto GRE from ...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Правила фильтрации пакетов..."

Сообщение от Graf (??) on 09-Авг-06, 13:48

pass in on $name_if inet proto tcp from any to $name_if port 1723 modulate state
pass in on $name_if inet proto gre from any to $name_if keep state
pass out on $name_if inet proto gre from $name_if to any keep state
Что то в этом духе.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Правила фильтрации пакетов..."

Сообщение от Shaokoa on 09-Авг-06, 19:26

Колеги, посоветуйте еще такое:
В правилах будет 3 секции - ПЕРЕАДРЕСАЦИЯ,  НАТ,  и сама ФИЛЬТРАЦИЯ.
Фильтрация - разумеется будет идти последним блоком, а вот с первыми не могу разобраться...   Дело в том что планируеться установка прозрачного проксика(Сквид) и будет стоять АПАЧ на сервере, для проверки статистики пользования сетью и и-нетом.
Сначало надо делать редирект на прокси и Апач , а потом сам НАТ в открытый интернет??  ТАК?!!
И для редиректа: сначало надо завернуть все запросы на внутрений ВЕБ(которые предназначены ему же) а потом все остальное кинуть на прозрачный прокси( все запросы что идут от клиентов в И-нет на порт 80, скажем)???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Правила фильтрации пакетов..."

Сообщение от Shaokoa on 09-Авг-06, 21:05

ext_if        =  "fxp0"
external_addr =  "1.2.3.4"
int_if        =  "fxp1"
internal_addr =  "5.6.7.8"
internal_net  =  "192.168.0.0/24"

rdr pass on $int_if inet proto tcp from $internal_net  to !$internal_addr \
  port { 80 8080 } -> $internal_addr port 3128
nat pass on $ext_if from $internal_net to any -> ($ext_if)

ТАКИЕ ПРАВИЛА БУДЕТ НАПИСАНЫ ПРАВИЛЬНО???
Все запросы из внутреней сети не предназначеные для "моего Апача" будут заворачиваться на прозрачный прокси(стоящий на этой же машине).
Все остальное будет НАТиться в "открытый интернет.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Правила фильтрации пакетов..."
Сообщение от Shaokoa on 09-Авг-06, 13:07
При создании ВПН-соединения в Outpost-e пишуться что задействованы такие порты: svchost.exe localhost 123 UDP svchost.exe localhost 1900 UDP system localhost PPTP TCP svchost.exe localhost 123 UDP system localhost 1942 TCP svchost.exe localhost 123 UDP svchost.exe localhost 123 UDP как эти данны правильно впихнуть в правило пакетного фильтра PF на Фрее? Если его написать таким образом, будет ли это правильно? pass in on $int_if inet proto INET from $internal_net to $me port PPTP keep state INET - подразумевает что протокол буде использоваться как ТСП, так и УДП ( ИЦМП - не учитываем) PPTP - будет браться из списка /etc/services если я не ошибаюсь... Скажите свой вердикт - ГУРУ....
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Правила фильтрации пакетов..."
	Сообщение от гость on 09-Авг-06, 13:38
	>Если его написать таким образом, будет ли это правильно? >pass in on $int_if inet proto INET from $internal_net to $me port PPTP keep state там ещё задействован протокол GRE pass in on $int_if inet proto GRE from ...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Правила фильтрации пакетов..."
	Сообщение от Graf (??) on 09-Авг-06, 13:48
	pass in on $name_if inet proto tcp from any to $name_if port 1723 modulate state pass in on $name_if inet proto gre from any to $name_if keep state pass out on $name_if inet proto gre from $name_if to any keep state Что то в этом духе.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Правила фильтрации пакетов..."
	Сообщение от Shaokoa on 09-Авг-06, 19:26
	Колеги, посоветуйте еще такое: В правилах будет 3 секции - ПЕРЕАДРЕСАЦИЯ, НАТ, и сама ФИЛЬТРАЦИЯ. Фильтрация - разумеется будет идти последним блоком, а вот с первыми не могу разобраться... Дело в том что планируеться установка прозрачного проксика(Сквид) и будет стоять АПАЧ на сервере, для проверки статистики пользования сетью и и-нетом. Сначало надо делать редирект на прокси и Апач , а потом сам НАТ в открытый интернет?? ТАК?!! И для редиректа: сначало надо завернуть все запросы на внутрений ВЕБ(которые предназначены ему же) а потом все остальное кинуть на прозрачный прокси( все запросы что идут от клиентов в И-нет на порт 80, скажем)???
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Правила фильтрации пакетов..."
	Сообщение от Shaokoa on 09-Авг-06, 21:05
	ext_if = "fxp0" external_addr = "1.2.3.4" int_if = "fxp1" internal_addr = "5.6.7.8" internal_net = "192.168.0.0/24" rdr pass on $int_if inet proto tcp from $internal_net to !$internal_addr \ port { 80 8080 } -> $internal_addr port 3128 nat pass on $ext_if from $internal_net to any -> ($ext_if) ТАКИЕ ПРАВИЛА БУДЕТ НАПИСАНЫ ПРАВИЛЬНО??? Все запросы из внутреней сети не предназначеные для "моего Апача" будут заворачиваться на прозрачный прокси(стоящий на этой же машине). Все остальное будет НАТиться в "открытый интернет.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]