форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Интернет-шлюз с использованием PF"	+/–
Сообщение от auto_tips (??) on 10-Дек-08, 09:50
O пакетном фильтре (PF) написано довольно много статей. Вот и я хочу предложить свою реализацию Интернет-шлюза с использованием  PF. Раздача Интернета для локальной сети происходит через NAT и основана на Packet Tagging. Плюсом этого метода является то что упрощается настройка правил для FTP (ftp-proxy не используется), как для клиентов за шлюзом, так и для возможной публикации "внутреннего" ftp-сервера в мир. Для простоты приведу пример с 1 внешним и 1 внутренним интерфейсом. На шлюзе также запущен DNS-сервер. Пользователям локальной сети разрешен доступ на все порты без исключений по протоколам TCP, UDP, из ICMP разрешен только ping. В качестве ОС выступает FreeBSD7.0 Для начала определим интерфейсы с помощью макросов    ext_if="rl0"    int_if="sk1"    dns="ААА.ААА.ААА.ААА"    lan="192.168.1.0/24"    table <no_if> {BBB.BBB.BBB.BBB, 192.168.1.1, 127.0.0.1} persist    set skip on lo    set loginterface rl0    set ruleset-optimization basic    set block-policy return    scrub in all no-df random-id    ##### INET FOR LAN    nat on $ext_if tag LAN_INET_NAT_TCP_UDP tagged LAN_INET_TCP_UDP -> $ext_if:0    nat on $ext_if tag LAN_INET_NAT_ICMP tagged LAN_INET_ICMP -> $ext_if:0    ######    block in    block out    antispoof quick for { lo $int_if }    ##############       EXT_IF_OUT    pass out quick on $ext_if inet tagged LAN_INET_NAT_TCP_UDP    pass out quick on $ext_if inet tagged LAN_INET_NAT_ICMP       pass out quick on $ext_if inet proto {tcp udp} from $ext_if to $dns port = dns    pass out quick on $ext_if inet proto icmp from $ext_if to any icmp-type echoreq    ##############         EXT_IF_IN    pass in quick on $ext_if inet proto tcp from any to $ext_if port = ssh synproxy state (max 10)    pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type echoreq    ##############   INT_IF_IN    pass in quick on $int_if inet proto {tcp udp} from $lan to !<no_if> tag LAN_INET_TCP_UDP    pass in quick on $int_if inet from $lan to $int_if    pass in quick on $int_if inet proto icmp from $lan to !<no_if>  icmp-type echoreq tag LAN_INET_ICMP    pass in quick on $int_if inet proto icmp from $lan to $int_if icmp-type echoreq Пояснения. Пришедшие на внутр. интерфейс пакеты "метятся". Метятся только те пакеты, у которых dst addr любой, кроме всех внутренних и внешних интерфейсов. Это необходимо, если есть несколько подсетей и вы не хотите, что бы кто-либо из одной сети мог подключится к висящему сервису на другом интерфейсе. Впринципе здесь можно  вместо  !<no_if> указать any. Весь исходящий трафик с сервера в "мир" (кроме ДНС) и локальную сеть блокируется. ААА.ААА.ААА.ААА - IP DNS-сервера провайдера. URL: Обсуждается: http://www.opennet.dev/tips/info/1867.shtml
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Интернет-шлюз с использованием PF"	+/–
Сообщение от skif (??) on 10-Дек-08, 09:50
мда ну и пояснения у вас :) что пояснил что не пояснил :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от artemrts (ok) on 10-Дек-08, 10:23
	А что не понятно-то?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от skif (??) on 10-Дек-08, 11:11
	да я не об этом, ну просто я не вижу смысла например выкладывания конфига просто так, ну вот сами посудите, те кто опытные и так все знают и видят и простые правила сами пишут :) я так полагаю все же сей конфиг расчитан как раз для молодых, а раз для молодых то трудитесь объяснять ибо смысла нет в нем:)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Интернет-шлюз с использованием PF"	+/–
Сообщение от abigor on 10-Дек-08, 10:42
что-то ни чего нового я для себя тут не нашел кажется лучше всего не городить такие вот рецеплы (статьи) а почитать либо man pf.conf ну а если туго с en то обратиться по ссылке http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html и написать правила для себя.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от abigor on 10-Дек-08, 10:43
	это я именно в виду не для автора, а для молодых админов которые первый раз с данным вопросом сталкнулись
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Интернет-шлюз с использованием PF"	+/–
Сообщение от muaddib (??) on 10-Дек-08, 12:11
"Интернет шлюз" ну веб и аська с игрушками работать так будут, а ftp, DC++ в активном режиме, IP-TV (IGMP-multicast) ? Лучше было назвать статью "Простой пример тэгирования пакетов на BSD PF" - в этом ключе хорошая статья, спасибо :) А если поподробнее и для полноценного шлюза - то нет лучше доки по PF чем выше указанный раздел из курса подготовки к BSDA - все разъяснено практически, есть примеры, есть переведенный вариант :-) P.S. отличный пакетный фиьтр, жаль на линукс его не портировали ещё.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от artemrts (ok) on 10-Дек-08, 12:22
	>"Интернет шлюз" ну веб и аська с игрушками работать так будут, а >ftp, DC++ в активном режиме, IP-TV (IGMP-multicast) ? >Лучше было назвать статью "Простой пример тэгирования пакетов на BSD PF" - >в этом ключе хорошая статья, спасибо :) >А если поподробнее и для полноценного шлюза - то нет лучше доки >по PF чем выше указанный раздел из курса подготовки к BSDA >- все разъяснено практически, есть примеры, есть переведенный вариант :-) P.S. >отличный пакетный фиьтр, жаль на линукс его не портировали ещё.   FTP работает отлично.   Я привел лишь небольшую часть, что использую сам на своих серверах. Ничто не мешает добавить правила для того же IGMP. Здесь просто изложил один из способов раздачи инета, используя теггирование в PF.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от muaddib (??) on 10-Дек-08, 12:58
	Было бы здорово если бы вторым вашим примером использования тэгирования было их применение на практике например в т.н. траффик-шейпинге c ALTQ. Обычные задачи можно и без тегирования сделать, а хорошо бы было показать где тэгирование вне конкуренции. P.S. про IP-TV вопрос был с подвохом, имхо просто правил не достаточно будет (и вообще просто PF) -  но это решабельно, если кому известен способ кроме самопальной переделки линуксового igmpproxy - поделитесь ссылкой если не затруднит.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от linked (ok) on 10-Дек-08, 23:05
	Мне так и не удалсь победить мультикаст. Пытался через mrouted.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от muaddib (??) on 11-Дек-08, 16:43
	IP-TV на IGMP multicast я нашел только способ описанный на форуме корбины http://homenet.corbina.net/index.php?showtopic=86926&pid=106... мне повторить удалось (хотя и другой провайдер) на 7.0. Жалко что автор там не облек в форму порта freebsd вариант igmpproxy.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от pepelac on 13-Дек-08, 00:25
	Аналогично - воевал очень долго. pf+mrouted+multicast!=friendship. ipfw+mrouted работает замечательно, а с pf ни в какую.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от muaddib (??) on 13-Дек-08, 14:53
	2 pepelac: pf+igmpproxy=IP-TV/friendship - работает, если сделать так как написано по указанной мной ссылке
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от abigor on 10-Дек-08, 13:31
	При таком подходе, да клиенты внутри сети смогут ходить на ftp в инете, а вот публиковать внутренней ftp придется все же с использованием proxy-ftp иначе для нормальной работы ни как. ---------------------------------- P.S. но если я ошибаюсь то покажите пальцем примером или линком
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от artemrts (ok) on 10-Дек-08, 13:46
	>При таком подходе, да клиенты внутри сети смогут ходить на ftp в >инете, а вот публиковать внутренней ftp придется все же с использованием >proxy-ftp иначе для нормальной работы ни как. >---------------------------------- >P.S. но если я ошибаюсь то покажите пальцем примером или линком Ошибаетесь. необходимо просто добавить правило редиректа для внешнего интерфейса + разрешить исходящий траффик для внутреннего на сервер, на котором запущена служба ftp.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от abigor on 11-Дек-08, 05:19
	Да? а мы говорим по активный или пассивные режимы?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от muaddib (??) on 11-Дек-08, 12:56
	Просто rdr aka порт-маппинг даст только пассивный режим, делал, уперся в это, переделал на ftp-proxy с помощью anchor как учат в доках. Вы не ответили про шейпинг - у меня есть гипотеза что с помощью тегирования можно приоритеты для входящего трафика сделать на основании тегов в зависимости от того на какие порты порты/службы хотел клиент из внутренней сети обратиться (маркируем пришедшее на внутренний интерфейс, шейпим то маркерам на внешнем интерфейсе) но я сомневаюсь.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от artemrts (ok) on 11-Дек-08, 13:04
	>Просто rdr aka порт-маппинг даст только пассивный режим, делал, уперся в это, >переделал на ftp-proxy с помощью anchor как учат в доках. Вы >не ответили про шейпинг - у меня есть гипотеза что с >помощью тегирования можно приоритеты для входящего трафика сделать на основании тегов >в зависимости от того на какие порты порты/службы хотел клиент из >внутренней сети обратиться (маркируем пришедшее на внутренний интерфейс, шейпим то маркерам >на внешнем интерфейсе) но я сомневаюсь. Чесно сказать, шейпить таким образом не пробовал. В тех случаях где нужно ограничение, использую думминет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от abigor on 11-Дек-08, 16:34
	Мой вопрос был больше адресован для пользователя artemrts, но оно так и есть, если хочется оба режима, хочешь не хочешь придется пользовать якоря и proxy-ftp
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Интернет-шлюз с использованием PF"	+/–
Сообщение от slepnoga (??) on 10-Дек-08, 16:15
PPtP,IPsec,PnP kak sdelat ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от iZEN (ok) on 10-Дек-08, 19:05
	http://www.opennet.dev/base/net/mpd_pptp_vpn.txt.html
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от Добрый Дохтур on 12-Дек-08, 12:31
	и где там про pf, точнее, про пропуск pptp из "серой"  сети силами pf?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от q (??) on 13-Дек-08, 02:37
	Пропуск PPTP делается средствами какого-нибудь PPTP-прокси, а не файрвола. pf не лезет на прикладной уровень, в отличие от iptables.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от Добрый Дохтур on 13-Дек-08, 03:10
	угу. а ещё в отличие от ipfilter, natd, ng_nat и ipfw nat. Гонять данные из ядра в юзерспей и обратно - это очень полезно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	27. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от baradatiy on 15-Дек-08, 12:13
	А на чем споткнулись, когда pptp из серой сети хотели пропустить?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	29. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от slepnoga (??) on 26-Дек-08, 18:02
	на трекинге соединеии (openBSD); больше 1 коннекта не проходит; Так как все таки  с UPnp ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	25. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от iZEN (ok) on 14-Дек-08, 14:28
	http://ezine.daemonnews.org/200406/mpd.html http://fiery-fenix.kiev.ua/archives/17-FreeBSD_i_GRE._Proksi... оно?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	33. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от slepnoga (??) on 08-Июн-10, 01:52
	>http://ezine.daemonnews.org/200406/mpd.html > >http://fiery-fenix.kiev.ua/archives/17-FreeBSD_i_GRE._Proksi... > >оно? я же написал - опенок. где там ipfw в базе, покажи
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Интернет-шлюз с использованием PF"	+/–
Сообщение от ugenk on 14-Дек-08, 01:37
"из ICMP разрешен только ping" Руки за такое отрывать
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	26. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от vitalic on 14-Дек-08, 17:56
	>"из ICMP разрешен только ping" >Руки за такое отрывать Да что ты говоришь. Вот таких так ты, таким да отрывать нада))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	28. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от fank on 16-Дек-08, 11:33
	PMTU Discover почитай, умник
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	31. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от artemrts (??) on 01-Авг-09, 17:27
	Это ты читай, умник... http://en.wikipedia.org/wiki/Path_MTU_discovery Там же четко написано Path MTU discovery works by setting the DF (Don't Fragment) option bit in the IP headers of outgoing packets. Then, any device along the path whose MTU is smaller than the packet will drop it, and send back an ICMP "Fragmentation Needed" (Type 3, Code 4) message containing its MTU, allowing the source host to reduce its path MTU appropriately. The process repeats until the MTU is small enough to traverse the entire path without fragmentation. Тут либо ты на en не понимаеш, либо не понимаеш принципы работы keep state в PF...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	32. "Интернет-шлюз с использованием PF"	+/–
	Сообщение от Sem (ok) on 03-Авг-09, 15:32
	>[оверквотинг удален] >Path MTU discovery works by setting the DF (Don't Fragment) option bit >in the IP headers of outgoing packets. Then, any device along >the path whose MTU is smaller than the packet will drop >it, and send back an ICMP "Fragmentation Needed" (Type 3, Code >4) message containing its MTU, allowing the source host to reduce >its path MTU appropriately. The process repeats until the MTU is >small enough to traverse the entire path without fragmentation. > >Тут либо ты на en не понимаеш, либо не понимаеш принципы работы >keep state в PF... Ну и как это будет работать, если "из ICMP разрешен только ping"?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Интернет-шлюз с использованием PF"	+/–
Сообщение от Sem (??) on 06-Фев-09, 02:01
Не вижу смысла делать два тега LAN_INET_TCP_UDP и LAN_INET_ICMP.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема