forum.opennet.ru - "openbsd 4.6 + pf + списки доступа" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"openbsd 4.6 + pf + списки доступа"

Форумы Информационная безопасность (OpenBSD PF / OpenBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"openbsd 4.6 + pf + списки доступа"		+/–
Сообщение от varag (ok) on 17-Мрт-10, 20:02
Столкнулся с проблемой разграничения доступа на pf. Суть в следующем:есть список клиентов client.conf ext_if="xl0" int_if="rl0" table <clients> persist file "/etc/clients.conf" разрешаю нат только для <clients> nat on $ext_if from <clients> -> $ext_if Теперь хочу разграничить доступ к различным url и протоколам pass out quick on $ext_if proto tcp from <clients> to any port www modulate state flags S/SA queue www_out ( это правило работает) Создаю еще один список work: table <work> persist file "/etc/work.conf" и правило для него: pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица <clients>. Где-то я туплю ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

openbsd 4.6 + pf + списки доступа, reader, 21:01 , 17-Мрт-10, (1)

openbsd 4.6 + pf + списки доступа, varag, 14:35 , 18-Мрт-10, (2)

openbsd 4.6 + pf + списки доступа, reader, 16:01 , 18-Мрт-10, (3)

openbsd 4.6 + pf + списки доступа, varag, 17:11 , 18-Мрт-10, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "openbsd 4.6 + pf + списки доступа" +/–

Сообщение от reader (ok) on 17-Мрт-10, 21:01

>[оверквотинг удален]
>
>pass out quick on $ext_if proto  tcp from <clients>  to any port  www modulate state flags S/SA queue www_out ( это правило работает)
> Создаю еще один список work:
>table <work> persist file "/etc/work.conf"
>и правило для него:
>
>pass out quick on $ext_if proto  tcp from <work>  to any port  22 modulate state flags S/SA queue ssh_out
> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица
><clients>.
>Где-то я туплю ?
это делать нужно до nat, на входящем интерфейсе.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "openbsd 4.6 + pf + списки доступа" +/–

Сообщение от varag (ok) on 18-Мрт-10, 14:35

>[оверквотинг удален]
>> Создаю еще один список work:
>>table <work> persist file "/etc/work.conf"
>>и правило для него:
>>
>>pass out quick on $ext_if proto  tcp from <work>  to any port  22 modulate state flags S/SA queue ssh_out
>> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица
>><clients>.
>>Где-то я туплю ?
>
>это делать нужно до nat, на входящем интерфейсе.
а не могли бы привести пример такого правила ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "openbsd 4.6 + pf + списки доступа" +/–

Сообщение от reader (ok) on 18-Мрт-10, 16:01

>[оверквотинг удален]
>>>и правило для него:
>>>
>>>pass out quick on $ext_if proto  tcp from <work>  to any port  22 modulate state flags S/SA queue ssh_out
>>> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица
>>><clients>.
>>>Где-то я туплю ?
>>
>>это делать нужно до nat, на входящем интерфейсе.
>
>а не могли бы привести пример такого правила ?
так же как и у вас
pass in on $int_if proto tcp from <work>  to any port  22
pass in on $int_if proto tcp from <clients> to any port www
если это просто шлюз для локалки, то натить лучше все, что бы провайдер не возмущался про адреса от вас.
очереди на $ext_if делайте, только без проверка from <...> т.к. адресом источника будет ip = $ext_if

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "openbsd 4.6 + pf + списки доступа" +/–

Сообщение от varag (ok) on 18-Мрт-10, 17:11

>[оверквотинг удален]
>>а не могли бы привести пример такого правила ?
>
>так же как и у вас
>
>pass in on $int_if proto tcp from <work>  to any port  22
>pass in on $int_if proto tcp from <clients> to any port www
>
>если это просто шлюз для локалки, то натить лучше все, что бы
>провайдер не возмущался про адреса от вас.
>очереди на $ext_if делайте, только без проверка from <...> т.к. адресом источника будет ip = $ext_if
Спасибо. Попробую

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ!

Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

Подробнее о проведении акции вы можете прочитать на странице сайта.

Закладки на сайте
Проследить за страницей

Created 1996-2012 by Maxim Chirkov
Добавить, Реклама, Вебмастеру, ГИД

1. "openbsd 4.6 + pf + списки доступа"		+/–
Сообщение от reader (ok) on 17-Мрт-10, 21:01
>[оверквотинг удален] > >pass out quick on $ext_if proto tcp from <clients> to any port www modulate state flags S/SA queue www_out ( это правило работает) > Создаю еще один список work: >table <work> persist file "/etc/work.conf" >и правило для него: > >pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out > и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица ><clients>. >Где-то я туплю ? это делать нужно до nat, на входящем интерфейсе.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "openbsd 4.6 + pf + списки доступа"		+/–
	Сообщение от varag (ok) on 18-Мрт-10, 14:35
	>[оверквотинг удален] >> Создаю еще один список work: >>table <work> persist file "/etc/work.conf" >>и правило для него: >> >>pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out >> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица >><clients>. >>Где-то я туплю ? > >это делать нужно до nat, на входящем интерфейсе. а не могли бы привести пример такого правила ?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "openbsd 4.6 + pf + списки доступа"		+/–
	Сообщение от reader (ok) on 18-Мрт-10, 16:01
	>[оверквотинг удален] >>>и правило для него: >>> >>>pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out >>> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица >>><clients>. >>>Где-то я туплю ? >> >>это делать нужно до nat, на входящем интерфейсе. > >а не могли бы привести пример такого правила ? так же как и у вас pass in on $int_if proto tcp from <work> to any port 22 pass in on $int_if proto tcp from <clients> to any port www если это просто шлюз для локалки, то натить лучше все, что бы провайдер не возмущался про адреса от вас. очереди на $ext_if делайте, только без проверка from <...> т.к. адресом источника будет ip = $ext_if
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "openbsd 4.6 + pf + списки доступа"		+/–
	Сообщение от varag (ok) on 18-Мрт-10, 17:11
	>[оверквотинг удален] >>а не могли бы привести пример такого правила ? > >так же как и у вас > >pass in on $int_if proto tcp from <work> to any port 22 >pass in on $int_if proto tcp from <clients> to any port www > >если это просто шлюз для локалки, то натить лучше все, что бы >провайдер не возмущался про адреса от вас. >очереди на $ext_if делайте, только без проверка from <...> т.к. адресом источника будет ip = $ext_if Спасибо. Попробую
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору