OpenForum RSS: Скрипты для обновления правил PF при подключении VPN-клиента https://ns.opennet.dev/openforum/vsluhforumID1/79119.html Что-то я всю голову уже сломал, не соображу, как сделать...<br>В общем, имеем mpd5, к нему подключается пользователь, mpd поднимает для него интерфейс ng0. Соответственно, в pf надо для интерфейса добавлять правило, разрешающее весь траффик на этом интерфейсе, что-то типа:<br><br>pass quick on ng0 all<br><br>А когда пользователь отключается, хорошо бы это правило убрать. Так вот как все это сделать "на лету", динамически? Понятно, что через скрипты на поднятие и отключение интерфейсов, но вот что и как написать в самих скриптах - не пойму...<br>То есть как будет выглядеть скрипт для добавления нового правила в существующую конфигурацию pf, и самое главное - для удаления этого правила из списка правил pf, так, чтобы не порушить остальные правила и не вырубить остальных подключенных пользователей!<br>Гуглил с утра - примеров таких скриптов не нашел. Если есть ссылка - ткните носом... <br><br>Можно, конечно, просто прописать и забыть в pf.conf набор<br><br>pass quick on ng0 all<br>....<br>pass quick on ng100 all<br><br>Но это как-то некошерн Скрипты для обновления правил PF при подключении VPN-клиента (SHRDLU) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#14 Wed, 09 Mar 2011 05:17:57 GMT &gt; Подскажите сколько ng интерфейсов используется и как с нагрузкой на процессор?<br><br>Честно? Не знаю :)))<br>Очень редко туда заглядываю.<br>Сейчас вот посмотрел - работают трое, шапка от top ниже:<br><br>last pid: 89313; load averages: 0.04, 0.06, 0.02 up 28+19:04:09 08:15:45<br>43 processes: 1 running, 42 sleeping<br>CPU: 0.0% user, 0.0% nice, 0.2% system, 0.0% interrupt, 99.8% idle<br>Mem: 23M Active, 266M Inact, 144M Wired, 92K Cache, 110M Buf, 555M Free<br>Swap: 1996M Total, 1996M Free<br><br> Скрипты для обновления правил PF при подключении VPN-клиента (borin) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#13 Mon, 28 Feb 2011 11:01:18 GMT &gt;[оверквотинг удален]<br>&gt; anchor "ng-int/*" <br>&gt; Соответственно, скрипты также несколько изменились: <br>&gt; # less if-up.sh <br>&gt; #!/bin/sh <br>&gt; echo "pass quick on $1 all" &#124; pfctl -a ng-int/$1 -f - <br>&gt; # less if-down.sh <br>&gt; #!/bin/sh <br>&gt; pfctl -a ng-int/$1 -F rules <br>&gt; IMHO, в документации по PF данный вопрос описан недостаточно чётко, коли возникают <br>&gt; разночтения...<br><br>Подскажите сколько ng интерфейсов используется и как с нагрузкой на процессор?<br> Скрипты для обновления правил PF при подключении VPN-клиента (SHRDLU) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#12 Fri, 10 Dec 2010 05:04:21 GMT &gt; Думаю проще так:<br>&gt; Два файла конфигов pf.conf и pf_vpn.conf (во втором добавлено все что касается<br>&gt; ng0)<br>&gt; В rc.conf дефолтным прописан pf.conf.<br>&gt; При старте считывается дефолтный, в mpd скриптах добавляем, в up: pfctl -f<br>&gt; /etc/pf_vpn.conf, в down: pfctl -f /etc/pf.conf<br><br>А если интерфейсов ng* существенно больше одного?<br> Скрипты для обновления правил PF при подключении VPN-клиента (Mick) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#11 Thu, 09 Dec 2010 14:56:46 GMT Думаю проще так: <br>Два файла конфигов pf.conf и pf_vpn.conf (во втором добавлено все что касается ng0)<br>В rc.conf дефолтным прописан pf.conf. <br>При старте считывается дефолтный, в mpd скриптах добавляем, в up: pfctl -f /etc/pf_vpn.conf, в down: pfctl -f /etc/pf.conf <br><br><br> Скрипты для обновления правил PF при подключении VPN-клиента (SHRDLU) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#10 Mon, 13 Apr 2009 09:31:28 GMT &gt;Можете показать свой mpd.conf? <br><br>да пожалуйста...<br><br>startup:<br><br>default:<br> load pptp_server0<br><br>pptp_server0:<br># Define dynamic IP address pool.<br> set ippool add pool1 10.0.9.3 10.0.9.254<br><br># Create clonable bundle template named B<br> create bundle template B<br> set iface enable proxy-arp<br> set iface idle 1800<br> set iface enable tcpmssfix<br># Add PF rules to ng*<br> set iface up-script /usr/local/etc/mpd5/if-up.sh<br> set iface down-script /usr/local/etc/mpd5/if-down.sh<br> set ipcp yes vjcomp<br># Specify IP address pool for dynamic assigment.<br> set ipcp ranges 10.0.9.2/32 ippool pool1<br> set ipcp dns 10.0.0.2<br> set ipcp nbns 10.0.0.18<br># The five lines below enable Microsoft Point-to-Point encryption<br># (MPPE) using the ng_mppc(8) netgraph node type.<br> set bundle enable compression<br> set ccp yes mppc<br> set mppc yes e40<br> set mppc yes e128<br> set mppc yes stateless<br># Create clonable link template na Скрипты для обновления правил PF при подключении VPN-клиента (artemrts) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#9 Mon, 13 Apr 2009 09:22:27 GMT &gt;[оверквотинг удален]<br>&gt;# <br>&gt;# Add some rules to firewall <br>&gt;# <br>&gt;echo "block quick on $1 from any to !10.0.0.0/8" &gt; /usr/local/etc/mpd5/$1;<br>&gt;echo "pass quick on $1 all" &gt;&gt; /usr/local/etc/mpd5/$1;<br>&gt;pfctl -a ng-int/$1 -f /usr/local/etc/mpd5/$1; <br>&gt;rm -f /usr/local/etc/mpd5/$1; <br>&gt;# <br>&gt;# Done <br>&gt;# <br><br> Всеравно, зараза, ругается Incorrect context for: 'set iface up-script /usr/local/etc/mpd5/if-up.sh'.<br>Можете показать свой mpd.conf?<br> Скрипты для обновления правил PF при подключении VPN-клиента (SHRDLU) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#8 Mon, 13 Apr 2009 09:02:57 GMT &gt; Скажите, а у вас mpd не ругается на if-up скрипт, <br><br>Нет, всё было скопировано с работающих скриптов.<br>Сейчас используется чуть более "продвинутый" вариант:<br><br>#!/bin/sh<br>#<br># VPN Interface Up Script<br>#<br># Script is called like this:<br>#<br># script interface proto local-ip remote-ip authname<br># $1 $2 $3 $4 $5<br>#<br># Add some rules to firewall<br>#<br>echo "block quick on $1 from any to !10.0.0.0/8" &gt; /usr/local/etc/mpd5/$1;<br>echo "pass quick on $1 all" &gt;&gt; /usr/local/etc/mpd5/$1;<br>pfctl -a ng-int/$1 -f /usr/local/etc/mpd5/$1;<br>rm -f /usr/local/etc/mpd5/$1;<br>#<br># Done<br>#<br><br> Скрипты для обновления правил PF при подключении VPN-клиента (artemrts) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#7 Mon, 13 Apr 2009 08:52:22 GMT &gt;[оверквотинг удален]<br>&gt;#!/bin/sh <br>&gt;echo "pass quick on $1 all" &#124; pfctl -a ng-int/$1 -f - <br>&gt;<br>&gt;<br>&gt;# less if-down.sh <br>&gt;#!/bin/sh <br>&gt;pfctl -a ng-int/$1 -F rules <br>&gt;<br>&gt;IMHO, в документации по PF данный вопрос описан недостаточно чётко, коли возникают <br>&gt;разночтения... <br><br> Скажите, а у вас mpd не ругается на if-up скрипт, а то у меня ошибкавылетает<br> Apr 13 09:27:42 server mpd: mpd.conf:50: Incorrect context for: 'set iface up-script /usr/local/etc/mpd5/if-up.sh'<br>Сам mpd работает, вот только нужных мне действий с PF не производит :-(.<br><br> Скрипты для обновления правил PF при подключении VPN-клиента (SHRDLU) https://ns.opennet.dev/openforum/vsluhforumID1/79119.html#6 Wed, 12 Mar 2008 04:11:11 GMT Наконец-то удалось победить. Проблема оказалась в объявлении якоря. Заработало, когда написал так:<br><br>anchor "ng-int/*"<br><br>Соответственно, скрипты также несколько изменились:<br><br># less if-up.sh<br>#!/bin/sh<br>echo "pass quick on $1 all" &#124; pfctl -a ng-int/$1 -f -<br><br># less if-down.sh<br>#!/bin/sh<br>pfctl -a ng-int/$1 -F rules<br><br>IMHO, в документации по PF данный вопрос описан недостаточно чётко, коли возникают разночтения...<br>