https://slinkov.ru/openforum/vsluhforumID1/67478.html Вводные:<br><br>Компьютер под FreeBSD5.4 <br>Сетевые адаптеры:<br>fxp1: 10.200.10.36:255.255.255.0<br>fxp2: 192.168.0.1:255.255.255.0<br><br>Ядро скомпилировано GENERIC + опции<br>options BRIDGE<br>options IPDIVERT<br>options IPFIREWALL<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=10<br>options IPFIREWALL_FORWARD<br>options IPFIREWALL_FORWARD_EXTENDED # на всякий пожарный<br>device pf<br>device pflog<br>device pfsync<br><br>rc.conf:<br><br>natd_enable="YES"<br>natd_interface="fxp1"<br>defaultrouter="10.200.10.1"<br>firewall_enable="YES"<br>pf_enable="YES"<br>pf_rules="/etc/pf.conf"<br>pf_flags=""<br>pflog_enable="YES"<br>pflog_logfile="/var/log/pflog"<br>pflog_flags=""<br><br>Сеть провайдера: 10.0.0.0:255.0.0.0<br>10.200.10.1 - gateway для моего сегмента<br>10.200.4.1 - VPN сервер<br>10.200.4.100 - Сервер с расшаренными по "Netbios over TCP/IP" папками с видеофильмами<br><br>Моя маленькая сеть 192.168.0.0:255.255.255.0<br>192.168.0.2 - Web, FTP, POP3, SMTP сервер<br>192.168.0.11 - рабочая станция 1<br>192.168.0.12 - рабочая станция 2<br><br>Возникшие вопросы:<br><br>1) Настр https://slinkov.ru/openforum/vsluhforumID1/67478.html#4 Thu, 09 Oct 2008 08:24:48 GMT Проверте конфиг...Плиззз Кажись тут че-то нетак, я с pf столкнулся первый раз ))<br><br>и если можно расписать что строки обозначают.<br><br><br><br>ext_if="inet0" # replace with actual external interface name i.e., dc0<br>int_if="lnet0" # replace with actual internal interface name i.e., dc1<br>internel_net="192.168.1.3, 192.168.1.127, 192.168.1.125, 192.168.1.250"<br>internel_net1="192.168.1.25, 192.168.1.126, 192.168.1.125, 192.168.1.10, 192.168.1.12, 192.1<br><br>internal_net="192.168.1.0/24"<br>external_addr="192.168.1.1"<br><br>nat on $ext_if from $internal_net to any -&gt; ($ext_if)<br><br>block in log all<br><br>pass in on $ext_if proto tcp from any to $ext_if port 22 keep state<br>pass out on $ext_if proto { tcp, udp } all keep state<br>pass in on $int_if from $int_if:network to any keep state<br>pass out on $int_if from any to $int_if:network keep state<br>pass out on $ext_if proto tcp all modulate state flags S/SA<br>pass out on $ext_if proto { udp, icmp } all keep state<br>pass in on $ext_if proto { gre, tcp } all keep state<br>pass in on $ext_ https://slinkov.ru/openforum/vsluhforumID1/67478.html#3 Wed, 12 Jul 2006 12:51:55 GMT &gt;АЙ.. не дочитал :-) Задачу твою нихрена не понял. <br>&gt;<br>&gt;"PS использовать PF в качестве одного единственного файрвола пока не хочу, ибо <br>&gt;пока я в нем совсем новичек." - а стОит! <br>&gt;<br><br>Задача:<br><br>Есть сеть вот такой структуры:<br><br>http://www.opennet.ru/base/net/freebsd_2x_natd.jpg<br><br>Картинка не моя, но структура у меня такая же.<br><br>Напишите работоспособный конфиг для PF который позволит:<br><br>1) Натить мою локалку - если смотреть на этот рисунок, то 10.0.0.0/8 в любой сегмент локалки 192.168.xxx.0/24<br><br>2) Натить мою локалку - если смотреть на этот рисунок, то 10.0.0.0/8 в интернет через PPTP интерфейс tun0<br><br>3) В моей локалке 10.0.0.0/8 есть мой сервер web, ftp,pop3,smtp его надо промапить в локалку провайдера только по портам этих сервисов.<br><br>Проблемы с которыми я столкнулся в PF на этом пути:<br><br>1) строка<br> nat on fxp1 from 192.168.0.0/24 to 10.0.0.0/8 -&gt; (fxp1) <br>срезает все пакеты превышающие длину 1472, что ведет к тормозам. Все парамерты в этой строке из моего первого поста выше, а не с рисунка :-) https://slinkov.ru/openforum/vsluhforumID1/67478.html#2 Wed, 12 Jul 2006 11:02:21 GMT &gt;Если будут вопросы пиши мне на мыло, вышлю рабочие конфиги и нормальный <br>&gt;хелп по ПФ <br><br>Можешь мне выслать? Заодно поделись опытом как считать трафик? (по клиентам) Вроде встретил упоминания что IPA работает c PF но на оффсайте об этом ни слова :(<br> https://slinkov.ru/openforum/vsluhforumID1/67478.html#1 Wed, 12 Jul 2006 00:18:10 GMT АЙ.. не дочитал :-) Задачу твою нихрена не понял.<br><br>"PS использовать PF в качестве одного единственного файрвола пока не хочу, ибо пока я в нем совсем новичек." - а стОит!<br><br>Советы:<br>1. Выкить IPFW, используйю PF. И вообще, как ты два фаерволла собрался одновременно юзать?<br>2. В PF можеш прописывать НАТы хоть сотню, не надо никаких дивертов, т.е. можно отдельные адреса выпукать на отдельные адреса и ваще как угодно<br><br>Краткий пример:<br>В ядре<br>option altq<br>device pf<br>device pflog<br>device pfsync<br>и на компиляцию.<br><br>в rc.conf<br>pf_enable="YES"<br>pflog_enable="YES"<br>pflog_logfile="usr/var/pf"<br><br>В pf.conf<br>ext_if="fxp1"<br>int_if="fxp2"<br>ext_ip="10.200.10.36"<br>int_net="192.168.0/24"<br><br>nat on $ext_if from 192.168.0.11 to 10.200.4.100 -&gt; $ext_if # НАТиш один одрес на один адрес<br>nat on $ext_if from {192.168.0.1 192.168.0.5} to 195.184.14/24 -&gt; $ext_if #НАТиш два внутренних адреса на какую-то подсеть<br>nat on $ext_if proto tcp from 192.168.0/24 to any port {25 110} -&gt; $ext_if # Выпускаешь всю сеть наружу по портам 25