- настройка PF, agu2, 16:00 , 15-Окт-09 (1)
При использовании PF в правилах фаера должны быть строки (у мене так работает): ip_tun1="IP1" Ip_tun2="IP2" pass out quick on $ext proto udp from $ip_tun1 port = isakmp to $ip_tun2 port = isakmp pass out quick on $ext proto esp from $ip_tun1 to $ip_tun2 pass out quick on $ext proto ipencap from $ip_tun1 to $ip_tun2 pass in quick on $ext proto udp from $ip_tun2 port = isakmp to $ip_tun1 port = isakmp pass in quick on $ext proto esp from $ip_tun2 to $ip_tun1 pass in quick on $ext proto ipencap from $ip_tun2 to $ip_tun1
- настройка PF, gat, 17:22 , 15-Окт-09 (2)
pass from {$ip_ak $msk} to any pass to {$ip_ak $msk} на сколько я понимаю мои правила шири и поглощают ваш пример.
у меня происходит блок на in wan, режется обратка это видно в логах tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes 000000 rule 1/0(match): block in on rl0: 192.168.0.6.3389 > 192.168.2.200.55985: tcp 32 [bad hdr length 0 - too short, < 20] 2. 108460 rule 1/0(match): block in on rl0: 93.157.177.16.60519 > 255.255.255.255.1947: UDP, length 40 1. 022291 rule 1/0(match): block in on rl0: 192.168.0.6.3389 > 192.168.2.200.55985: tcp 32 [bad hdr length 0 - too short, < 20] 6. 562174 rule 1/0(match): block in on rl0: 192.168.0.6.3389 > 192.168.2.200.55985: tcp 32 [bad hdr length 0 - too short, < 20] это пример телнет сессии с компа 192,168,2,200 на 192,168,0,6 , я вообще не понимаю как туда попадают пакеты из тунеля. да отдельных интерфейсов для тунеля я не использую.
- настройка PF, Alexpn, 18:04 , 15-Окт-09 (3)
дак $wan_if чему равен ??????
- настройка PF, gat, 19:34 , 15-Окт-09 (4)
>дак > $wan_if >чему равен ?????? wan_if="rl0" lan_if="rl1"
- настройка PF, gat, 21:28 , 15-Окт-09 (5)
вот такой конфиг работает как надо,только вот терзают смутные сомнения на сколько правильна такая конструкция -- block log on $wan_if from ! $msk########################################################################### set block-policy drop set state-policy floating #set loginterface $wan_if set limit { frags 100000, states 100000 } set optimization normal set skip on { lo0 $lan_if} ################################################################################ # scrub in log all # nat on $wan_if from $lan to any -> ($wan_if) no nat from $lan to $msk ############################################################################################### antispoof quick for $wan_if
#block log all block log on $wan_if from ! $msk ################################################################# pass out log on $wan_if proto tcp to any port $tcp_ports keep state pass out log on $wan_if proto udp to any port $udp_ports keep state pass log from {$ip_ak $msk} to any pass log to {$ip_ak $msk}
|