форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PF и IPFW одновременно"

Сообщение от Krom (ok) on 03-Дек-07, 18:39

Шлюз на FreeBSD 6.1-R. Используется PF для фильтрации, NAT и прозрачного прокси. Клиенты из локалки для выхода инет подключаются по PPTP (MPD). Нужно задействовать IPFW для шейпинга (pipe). Но тут - засада! Если для пользователя прописаны в IPFW правила pipe 1 ip from any to any via ng1 in pipe 1 ip from any to any via ng1 out, то в инет он доступа не имеет. Такое впечатление, что после IPFW pipe пакеты не попадают к PF. Без шейпинга и включённом IPFW с единственным правилом allow all from any to any всё работает. Оба фильтра вкомпилены в ядро. У кого работает такая связка?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PF и IPFW одновременно"

Сообщение от Krom (ok) on 09-Дек-07, 21:25

Разве никто не использует на одной машине PF и IPFW одновременно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "PF и IPFW одновременно"
	Сообщение от butcher (ok) on 10-Дек-07, 13:29
	>Разве никто не использует на одной машине PF и IPFW одновременно? А `ipfw pipe 1 config ...` делать кто будет? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "PF и IPFW одновременно"
	Сообщение от Krom (ok) on 10-Дек-07, 20:37
	>>Разве никто не использует на одной машине PF и IPFW одновременно? > >А `ipfw pipe 1 config ...` делать кто будет? :) Это тоже есть. :) Проблема в том, что при включённом pipe не срабатывает правило redirect в pf.conf на прокси. Короче говоря, pipe (IPFW) и rdr (PF) вместе работать не хотят :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "PF и IPFW одновременно"
	Сообщение от weldpua2008 (ok) on 10-Дек-07, 21:31
	>>>Разве никто не использует на одной машине PF и IPFW одновременно? >> >>А `ipfw pipe 1 config ...` делать кто будет? :) > >Это тоже есть. :) > >Проблема в том, что при включённом pipe не срабатывает правило redirect в >pf.conf на прокси. >Короче говоря, pipe (IPFW) и rdr (PF) вместе работать не хотят :( > Смотри в man ipfw ipfw+pf работают нормально. Для rdr на прокси надо на какое-то устройство давать права + squid собирать с поддержкой pf. Это что бы squid именно работал. А так pf нормально работает - у Мну на нем проброс портов был, пока ип-ки не купил :) Еще можеш определить какой именно фаервол будет первым для приема/отправки работать pf||ipfw ЗЫ: У Мну работал ipfw pipe+ipfw заворотн на squid+pf rdr(для проброса портов)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "PF и IPFW одновременно"
	Сообщение от Krom (ok) on 10-Дек-07, 22:24
	>[оверквотинг удален] >Для rdr на прокси надо на какое-то устройство давать права + squid >собирать с поддержкой pf. >Это что бы squid именно работал. А так pf нормально работает - >у Мну на нем проброс портов был, пока ип-ки не купил >:) >Еще можеш определить какой именно фаервол будет первым для приема/отправки работать pf||ipfw > > >ЗЫ: >У Мну работал ipfw pipe+ipfw заворотн на squid+pf rdr(для проброса портов) Squid собран с поддержкой PF. А вот rdr на прокси работает только для тех клиентов, для которых нет правил pipe в ipfw. Если убрать rdr, то у всех всё работает через nat+pf и даже с pipe. Что касается очереди фильтров, то я уже пробовал оба в ядре и PF как модуль.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]