forum.opennet.ru - "Доступ в интернет по ip, PF+squid Freebsd" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступ в интернет по ip, PF+squid Freebsd"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ в интернет по ip, PF+squid Freebsd"	+/–
Сообщение от Lomonosov (ok) on 27-Мрт-12, 10:35
Добрый день! помогите пожалуйста!!! уже неделю бьюсь все бестолку, перечитал уже маны, необходимо выпустить в инет один комп по IP в обход squid, есть правила: nat on $EXT_IF from 192.168.0.100 to any -> $EXT_IP pass out on $EXT_IF from 192.168.0.100 to any keep state Буду очень признателен за помощь!
Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ в интернет по ip, PF+squid Freebsd, artemrts, 11:04 , 27-Мрт-12, (1)

Доступ в интернет по ip, PF+squid Freebsd, Lomonosov, 11:07 , 27-Мрт-12, (2)

Доступ в интернет по ip, PF+squid Freebsd, Lomonosov, 11:53 , 27-Мрт-12, (3)

Доступ в интернет по ip, PF+squid Freebsd, Lomonosov, 12:44 , 27-Мрт-12, (4)
Доступ в интернет по ip, PF+squid Freebsd, artemrts, 13:52 , 27-Мрт-12, (5)

Доступ в интернет по ip, PF+squid Freebsd, Lomonosov, 14:00 , 27-Мрт-12, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ в интернет по ip, PF+squid Freebsd" +/–

Сообщение от artemrts (ok) on 27-Мрт-12, 11:04

> Добрый день! помогите пожалуйста!!! уже неделю бьюсь все бестолку, перечитал уже маны,
> необходимо выпустить в инет один комп по IP в обход squid,
> есть правила:
> nat on $EXT_IF from 192.168.0.100 to any -> $EXT_IP
> pass out on $EXT_IF from 192.168.0.100 to any keep state
                            ^^^^^^^^^^^^
Ваша ошибка в том, что вы указали адрес, а надо указать внешний интерфейс. У вас НАТ, и в этом месте не фигурирует реальный адрес отправителя (192.168.0.100).
И убедитесь, что включен форвардинг net.inet.ip.forwarding: 1
> Буду очень признателен за помощь!
set state-policy if-bound
nat on $ext_if inet from 192.168.0.100 to !(self) -> ($ext_if)
block in
block out
А дальше открываете "окна" в зависимости от ваших требований. Учтите, что PF - это statefull firawall, поэтому явно указывать обратный маршрут не нужно.
pass out on $ext_if inet from $ext_if to any
# Эти 2 правила для сквида на внутр. интерфейсе. Можно задать более жесткие условия,
# указав протокол и порт. Желательно.
pass in quick on $int_if inet from $int_if:network to $int_if
pass out quick on $int_if inet from $int_if to $int_if:network

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступ в интернет по ip, PF+squid Freebsd" +/–

Сообщение от Lomonosov (ok) on 27-Мрт-12, 11:07

Спасибо! сейчас буду пробовать!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступ в интернет по ip, PF+squid Freebsd" +/–

Сообщение от Lomonosov (ok) on 27-Мрт-12, 11:53

Все сделал как вы сказали, но не работает, вот часть конфига, может я опять чтото напутал?:
#HOSTNEW
set state-policy if-bound
nat on $EXT_IF inet from 192.168.0.100 to !(self) -> ($EXT_IF)
block in all
block out all
block in quick on $EXT_IF from any to $LOCALHOST
block in on $EXT_IF from <private> to any
block in quick on $EXT_IF from {<portscanofly>,<portscanfile> }
                                    # I N T E R N A L  T R A F F I C
#HOSTNEW_SQUID
pass out on $EXT_IF inet from $EXT_IF to any
pass in quick on $INT_IF inet from $INT_IF:network to $INT_IF
pass out quick on $INT_IF inet from $INT_IF to $INT_IF:network

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступ в интернет по ip, PF+squid Freebsd" +/–

Сообщение от Lomonosov (ok) on 27-Мрт-12, 12:44

Один свой косяк нашел, перенес параметр set state-policy if-bound перед scub, но все равно не работает...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступ в интернет по ip, PF+squid Freebsd" +/–

Сообщение от artemrts (ok) on 27-Мрт-12, 13:52

> Все сделал как вы сказали, но не работает, вот часть конфига, может
> я опять чтото напутал?:
> #HOSTNEW
> set state-policy if-bound
> nat on $EXT_IF inet from 192.168.0.100 to !(self) -> ($EXT_IF)
> block in all
> block out all
> block in quick on $EXT_IF from any to $LOCALHOST
> block in on $EXT_IF from <private> to any
> block in quick on $EXT_IF from {<portscanofly>,<portscanfile> }
А это зачем? Первое правило заменяется antispoof quick on {lo $int_if}

>
>
>
>   # I N T E R N A L
>  T R A F F I C
> #HOSTNEW_SQUID
> pass out on $EXT_IF inet from $EXT_IF to any
> pass in quick on $INT_IF inet from $INT_IF:network to $INT_IF
> pass out quick on $INT_IF inet from $INT_IF to $INT_IF:network
tcpdump'ом смотрите где пакеты не проходят. Вообщем, почитайте еще мануалко.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Доступ в интернет по ip, PF+squid Freebsd" +/–

Сообщение от Lomonosov (ok) on 27-Мрт-12, 14:00

Мне это все хозяйство по наследству досталось, неделю читал, время поджимает, поэтому и спрашиваю, видимо я чего то недогоняю.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ в интернет по ip, PF+squid Freebsd"	+/–
Сообщение от artemrts (ok) on 27-Мрт-12, 11:04
> Добрый день! помогите пожалуйста!!! уже неделю бьюсь все бестолку, перечитал уже маны, > необходимо выпустить в инет один комп по IP в обход squid, > есть правила: > nat on $EXT_IF from 192.168.0.100 to any -> $EXT_IP > pass out on $EXT_IF from 192.168.0.100 to any keep state ^^^^^^^^^^^^ Ваша ошибка в том, что вы указали адрес, а надо указать внешний интерфейс. У вас НАТ, и в этом месте не фигурирует реальный адрес отправителя (192.168.0.100). И убедитесь, что включен форвардинг net.inet.ip.forwarding: 1 > Буду очень признателен за помощь! set state-policy if-bound nat on $ext_if inet from 192.168.0.100 to !(self) -> ($ext_if) block in block out А дальше открываете "окна" в зависимости от ваших требований. Учтите, что PF - это statefull firawall, поэтому явно указывать обратный маршрут не нужно. pass out on $ext_if inet from $ext_if to any # Эти 2 правила для сквида на внутр. интерфейсе. Можно задать более жесткие условия, # указав протокол и порт. Желательно. pass in quick on $int_if inet from $int_if:network to $int_if pass out quick on $int_if inet from $int_if to $int_if:network
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Доступ в интернет по ip, PF+squid Freebsd"	+/–
	Сообщение от Lomonosov (ok) on 27-Мрт-12, 11:07
	Спасибо! сейчас буду пробовать!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Доступ в интернет по ip, PF+squid Freebsd"	+/–
	Сообщение от Lomonosov (ok) on 27-Мрт-12, 11:53
	Все сделал как вы сказали, но не работает, вот часть конфига, может я опять чтото напутал?: #HOSTNEW set state-policy if-bound nat on $EXT_IF inet from 192.168.0.100 to !(self) -> ($EXT_IF) block in all block out all block in quick on $EXT_IF from any to $LOCALHOST block in on $EXT_IF from <private> to any block in quick on $EXT_IF from {<portscanofly>,<portscanfile> } # I N T E R N A L T R A F F I C #HOSTNEW_SQUID pass out on $EXT_IF inet from $EXT_IF to any pass in quick on $INT_IF inet from $INT_IF:network to $INT_IF pass out quick on $INT_IF inet from $INT_IF to $INT_IF:network
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Доступ в интернет по ip, PF+squid Freebsd"	+/–
	Сообщение от Lomonosov (ok) on 27-Мрт-12, 12:44
	Один свой косяк нашел, перенес параметр set state-policy if-bound перед scub, но все равно не работает...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Доступ в интернет по ip, PF+squid Freebsd"	+/–
	Сообщение от artemrts (ok) on 27-Мрт-12, 13:52
	> Все сделал как вы сказали, но не работает, вот часть конфига, может > я опять чтото напутал?: > #HOSTNEW > set state-policy if-bound > nat on $EXT_IF inet from 192.168.0.100 to !(self) -> ($EXT_IF) > block in all > block out all > block in quick on $EXT_IF from any to $LOCALHOST > block in on $EXT_IF from <private> to any > block in quick on $EXT_IF from {<portscanofly>,<portscanfile> } А это зачем? Первое правило заменяется antispoof quick on {lo $int_if} > > > > # I N T E R N A L > T R A F F I C > #HOSTNEW_SQUID > pass out on $EXT_IF inet from $EXT_IF to any > pass in quick on $INT_IF inet from $INT_IF:network to $INT_IF > pass out quick on $INT_IF inet from $INT_IF to $INT_IF:network tcpdump'ом смотрите где пакеты не проходят. Вообщем, почитайте еще мануалко.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Доступ в интернет по ip, PF+squid Freebsd"	+/–
	Сообщение от Lomonosov (ok) on 27-Мрт-12, 14:00
	Мне это все хозяйство по наследству досталось, неделю читал, время поджимает, поэтому и спрашиваю, видимо я чего то недогоняю.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору