https://www.opennet.dev/openforum/vsluhforumID1/90226.html Приветствую.<br>Дело в следующем: чтоб долго не расписывать что к чему выкладываю rc.conf и pf.conf<br><br>Проблема в том что с данным конфигом всем можно всё (<br>Подскажите в чем я ошибся - не пойму вроде правила правильно расписал....<br><br>Rc.conf <br><br>defaultrouter="***.***.***.149"<br>gateway_enable="YES"<br>hostname="bsd"<br>ifconfig_re0="inet ***.***.2.150 netmask 255.255.255.252" # интерфейс к провайдеру<br>ifconfig_rl0="inet ***.***.24.17 netmask 255.255.255.240" # смотрит в сеть 1 <br>ifconfig_rl1="inet ***.***.88.241 netmask 255.255.255.248" # смотрит в сеть 2<br><br>pf_enable="YES"<br>pf_rules="/etc/pf.conf" <br><br>---------------------------------------------------------------------------------<br><br>Pf.conf<br><br>ext_if="re0"<br>lan_if_1="rl0"<br>lan_if_2="rl1"<br><br>inet_proto = "{tcp, udp}"<br>allowed_ports="{ 443, 1494, 80, 1935, 3128, 8080, 1433, 1104, 2562, 1407 }<br><br><br>Allowed_networks="{ ***.***.***.***/32, ***.***.***.0/24, } #разрешенные Ip и сети<br><br># разрешаем сети подключеной к интерфейсу rl0 доступ к Allowed networks через инт https://www.opennet.dev/openforum/vsluhforumID1/90226.html#16 Sun, 07 Nov 2010 11:16:13 GMT &gt;&gt; При запросе на соединение из локальной сети пакет сначала появится на локальном<br>&gt;&gt; интерфейсе сервера как входящий, а только потом уйдёт с внешнего интерфейса<br>&gt;&gt; сервера. Т.е. как минимум для интернета изнутри вам надо разрешить входящий<br>&gt;&gt; траф на внутренних интерфейсах и исходящий на внешних. Обратный траф будет<br>&gt;&gt; попадать под состояения, созданные keep state.<br>&gt; Если я правильно понял мне надо перед правилом которое я создал для<br>&gt; сети<br>&gt; добавить правило которое пропускает весь трафик внутреннего интерфейса на внешний ?<br>&gt; А первой строкой прописать правила block in и out ?<br><br>В pf выполняется последнее совпавшее правило. Поэтому разрешить внутренний траф вам надо где-нибудь после block all. И трафик из внутренней подсети будет идти не на внешний интерфейс, а куда угодно в интернет. Т.е. вам после блокирующего правила надо добавить правило, разрешающее на внутреннем интерфейсе весь входящий траф из внутренней подсети куда угодно (или куда угодно кроме самого сервера, если вам не надо изнутри попад https://www.opennet.dev/openforum/vsluhforumID1/90226.html#15 Sun, 07 Nov 2010 11:06:49 GMT &gt; При запросе на соединение из локальной сети пакет сначала появится на локальном<br>&gt; интерфейсе сервера как входящий, а только потом уйдёт с внешнего интерфейса<br>&gt; сервера. Т.е. как минимум для интернета изнутри вам надо разрешить входящий<br>&gt; траф на внутренних интерфейсах и исходящий на внешних. Обратный траф будет<br>&gt; попадать под состояения, созданные keep state.<br><br>Если я правильно понял мне надо перед правилом которое я создал для сети<br>добавить правило которое пропускает весь трафик внутреннего интерфейса на внешний ?<br>А первой строкой прописать правила block in и out ?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#14 Sun, 07 Nov 2010 10:51:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; не весь конфиг?<br>&gt; А то что в правилах прописано пропускать через ext_if сеть подключенную к<br>&gt; lan_if<br>&gt; разве не должно работать ?<br>&gt; # разрешаем сети подключеной к интерфейсу rl0 доступ к Allowed networks через<br>&gt; интерфейс re0<br>&gt; pass in on $ext_if inet proto $inet_proto from $Allowed_networks to ***.***.24.0/28 port<br>&gt; $allowed_ports keep state<br>&gt; pass out on $ext_if inet proto $inet_proto from ***.***.24.0/28 to $Allowed_networks port<br>&gt; $allowed_ports keep state<br><br>При запросе на соединение из локальной сети пакет сначала появится на локальном интерфейсе сервера как входящий, а только потом уйдёт с внешнего интерфейса сервера. Т.е. как минимум для интернета изнутри вам надо разрешить входящий траф на внутренних интерфейсах и исходящий на внешних. Обратный траф будет попадать под состояения, созданные keep state.<br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#13 Sun, 07 Nov 2010 10:20:15 GMT В связи с тем что сеть должна работать - временно установил cisco 2621, пусть маршрутизит (через циску всё заработало как из пушки). <br>А FreeBsd буду поднимать на Vmware с аналогичным конфигом, и разбираться детально.<br>При удачном исходе выложу работающий конфиг - можт кому будет интересно.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#12 Sun, 07 Nov 2010 10:07:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Если я ставлю правила block первыми или последними - инета нет по<br>&gt;&gt;&gt;&gt; всем моим сетям<br>&gt;&gt;&gt; pfctl -sr что показывает?<br>&gt;&gt;&gt; Попробуй временно убрать in и out.<br>&gt;&gt; Если убрать правила block - инет появляется.<br>&gt;&gt; Но игнорит акцесслист, у всех есть полный доступ в обе стороны<br>&gt;&gt; pfctl показывает, что все правила работают как и должно быть)<br>&gt; А инет у вас пропадает при добавлении блока в начале потому, что<br>&gt; не разрешён никакой трафик на lan_if_1 и lan_if_2. Может вы выложили<br>&gt; не весь конфиг?<br><br>А то что в правилах прописано пропускать через ext_if сеть подключенную к lan_if <br>разве не должно работать ?<br><br># разрешаем сети подключеной к интерфейсу rl0 доступ к Allowed networks через интерфейс re0<br><br>pass in on $ext_if inet proto $inet_proto from $Allowed_networks to ***.***.24.0/28 port $allowed_ports keep state<br>pass out on $ext_if inet proto $inet_proto from ***.***.24.0/28 to $Allowed_networks port $allowed_ports keep state<br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#11 Sun, 07 Nov 2010 07:39:34 GMT &gt;&gt;&gt; А вот тут начинается самое интересное<br>&gt;&gt;&gt; Если я ставлю правила block первыми или последними - инета нет по<br>&gt;&gt;&gt; всем моим сетям<br>&gt;&gt; pfctl -sr что показывает?<br>&gt;&gt; Попробуй временно убрать in и out.<br>&gt; Если убрать правила block - инет появляется.<br>&gt; Но игнорит акцесслист, у всех есть полный доступ в обе стороны<br>&gt; pfctl показывает, что все правила работают как и должно быть)<br><br>А инет у вас пропадает при добавлении блока в начале потому, что не разрешён никакой трафик на lan_if_1 и lan_if_2. Может вы выложили не весь конфиг? <br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#10 Sun, 07 Nov 2010 06:02:38 GMT &gt;&gt;&gt;&gt; добавьте<br>&gt;&gt;&gt;&gt; block in all<br>&gt;&gt;&gt;&gt; block out all<br>&gt;&gt;&gt;&gt; перед первым правилом<br>&gt;&gt;&gt; порядок правил в данном случае не важен, если не используется конструкция quick.<br>&gt;&gt; как это не важен, если исполняется последнее подходящее правило?<br>&gt; А вот тут начинается самое интересное<br>&gt; Если я ставлю правила block первыми или последними - инета нет по<br>&gt; всем моим сетям<br><br>ну все верно:<br>когда есть правила block, разрешено только то, что разрешено правилами pass<br>а когда их нет, разрешено все<br><br>предлагаю подумать, к какой стороне относятся указанные порты в ваших правилах (отдельно для правил in и для out)<br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#9 Sat, 06 Nov 2010 19:45:59 GMT &gt; Если убрать правила block - инет появляется.<br>&gt; Но игнорит акцесслист, у всех есть полный доступ в обе стороны<br>&gt; pfctl показывает, что все правила работают как и должно быть)<br><br>А in и out если убрать?<br><br> https://www.opennet.dev/openforum/vsluhforumID1/90226.html#8 Sat, 06 Nov 2010 19:40:32 GMT &gt;&gt; А вот тут начинается самое интересное<br>&gt;&gt; Если я ставлю правила block первыми или последними - инета нет по<br>&gt;&gt; всем моим сетям<br>&gt; pfctl -sr что показывает?<br>&gt; Попробуй временно убрать in и out.<br><br>Если убрать правила block - инет появляется.<br>Но игнорит акцесслист, у всех есть полный доступ в обе стороны<br>pfctl показывает, что все правила работают как и должно быть)<br><br>