Здравствуйте.
У меня возникла проблема с настройкой pf не могу понять в чем причина.
Если есть кто разбирается в теме - буду очень благодарен.
Итак есть внешний интерфейс ed0 - подсоединен к ADSL (рутеру)
Внутренний интерфейс dc0
Поднят mpd, где ng0 - внешний интерфейс, через PPPoE в интернет.
Внутренние интерфейсы ng1 по ng5 - входящие VPN каналы.
По мере подключения (VPN)IP пользователей добавляются в таблицу.
Содержимое /etc/pf.conf
ext_if = "ed0"
int_str_if = "ng0"
table <users_str_if> persist
int_if = "dc0"
priv_nets = "{ 127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 }"
scrub in all
nat on $int_str_if from { <users_str_if> lo0 } to any -> ($int_str_if)
#-------------------------------------------------------
# blochim vse
block all
# razreshaem loopback
pass quick on lo0 all
# antispoof
block drop in quick on $int_str_if from $priv_nets to any
block drop out quick on $int_str_if from any to $priv_nets
# allow icmp
pass in inet proto icmp all keep state
pass out inet proto icmp all keep state
#allow local net
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
# allow external
pass out on $int_str_if inet from { <users_str_if> lo0 } to any modulate state flags S/SA
pass out on $int_chret_if inet proto { udp icmp } from { <users_chret_if> lo0 } to any keep state
pass on $ext_if all
#-------------------------------------------
Возможно какие-то излишества (например lo0) возможно еще что-то не так, подскажите ПЛЗ.
Таблица <users_chret_if> содержит IP подключенных в данный момент людей.
Задача - натить входящие VPN соединения на внешний интерфейс.
ICMP - бегает нормально, а вот зателнетиться хотя бы на 80 порт яндекса - не выходит.
Работает лишь если добавить
pass in all
pass out all
но вы сами видите что это не вариант...
Первый раз pf настраиваю, возможно чего-то недопонял...направьте на путь истиный.
Вариант для распечатки
Информационная безопасность (Public)
(??) on
25-Сен-05, 03:04 (MSK)
