https://opennet.me/openforum/vsluhforumID10/3254.html В связи с существенной разницей в цене на подключение с выделенным/динамическим IP в пользу последнего, и необходимостью иметь доступ к управлению серверами и просмотру статистики из внешней сети возникла такая идея:<br>Есть два (пока два) сервера с динамическими IP (S1 и S2). надо разрешить SSH и HTTP между ними, И ТОЛЬКО МЕЖДУ НИМИ. Каждый раз при смене IP на внешнем (подключенном к интернету интерфейсу) сервер S1 пишет этот адрес в файл S1.ip, а S2 соответственно в S2.ip на один из сайтов бесплатного хостинга по ftp (скажем http://www.MY.freehost.ru).<br>Скрипт запускаемый по крону раз в минуту на наждом из серверов (скажем S1) проверяет, не обновился ли http://www.MY.freehost.ru/S2.ip. Если обновился - скрипт должен поменять ОДНО правило файрвола, разрешающее SSH и HTTP к себе с того IP, что записан в S2.ip.<br>В IPFW можно было:<br>ipfw del 1000<br>ipfw add 1000 allow и т.д.<br>А как это реализовать в PF? т.е. не перечитывать всю таблицу заново..<br>Вариант использовать PF и IPFW самый простой его я знаю :-), может мо https://opennet.me/openforum/vsluhforumID10/3254.html#6 Thu, 06 Nov 2008 13:20:52 GMT &gt;&gt;table &lt;my_ip&gt;<br>&gt;&gt;pass in quick on $if_in proto tcp from &lt;my_ip&gt; to ($if_in)ports 22, 80 keep state <br>&gt;&gt;<br>&gt;&gt;добавляем: pfctl -t my_ip -Ta 1.2.3.4 <br>&gt;&gt;удаляем: pfctl -t my_ip -Td 1.2.3.4 или все сразу pfctl -t my_ip -Tf<br>&gt;<br>&gt;Ок, спасибо, это то, что надо! <br>&gt;Пока не хватает опыта работы с PF, но это временно и поправимо <br>&gt;:-) <br><br>А как быть если в правиле надо менять не IP адресс а название интерфейса или номера портов, или вообще набор правил менять динамически<br>Тут на помощь приходят "Якоря" anchor<br><br><br>В документации http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-lists так же сказано было <br> При помощи команды pfctl(8) можно переопределять значения макросов с помощью опции -D. Например:<br><br># pfctl -D friends="{ 192.168.1.1, 10.1.2.3 }"<br>но у меня почему-то не работает, хотя так бы облегчило жизнь! :(<br> https://opennet.me/openforum/vsluhforumID10/3254.html#5 Wed, 18 Apr 2007 05:45:14 GMT &gt;table &lt;my_ip&gt;<br>&gt;pass in quick on $if_in proto tcp from &lt;my_ip&gt; to ($if_in)ports 22, 80 keep state <br>&gt;<br>&gt;добавляем: pfctl -t my_ip -Ta 1.2.3.4 <br>&gt;удаляем: pfctl -t my_ip -Td 1.2.3.4 или все сразу pfctl -t my_ip -Tf<br><br>Ок, спасибо, это то, что надо!<br>Пока не хватает опыта работы с PF, но это временно и поправимо :-)<br><br><br> https://opennet.me/openforum/vsluhforumID10/3254.html#4 Tue, 17 Apr 2007 10:51:37 GMT &gt;&gt;Одно правило нельзя поменять на лету, только таблицу, афаик. <br>&gt;&gt;Мак адреса не можете использовать? Как правило вообще должно выглядеть? <br>&gt;&gt;Всегда есть несколько способов добиться нужной цели. <br>&gt;<br>&gt;Правило типа: <br>&gt;pass in quick on $if_in proto tcp from $MY_IP to ($if_in)ports 22, <br>&gt;80 keep state <br>&gt;<br>&gt;менять надо $MY_IP <br><br>table &lt;my_ip&gt;<br>pass in quick on $if_in proto tcp from &lt;my_ip&gt; to ($if_in)ports 22, 80 keep state <br><br>добавляем: pfctl -t my_ip -Ta 1.2.3.4<br>удаляем: pfctl -t my_ip -Td 1.2.3.4 или все сразу pfctl -t my_ip -Tf https://opennet.me/openforum/vsluhforumID10/3254.html#3 Mon, 16 Apr 2007 08:53:27 GMT &gt;Одно правило нельзя поменять на лету, только таблицу, афаик. <br>&gt;Мак адреса не можете использовать? Как правило вообще должно выглядеть? <br>&gt;Всегда есть несколько способов добиться нужной цели. <br><br>Правило типа:<br>pass in quick on $if_in proto tcp from $MY_IP to ($if_in)ports 22, 80 keep state<br><br>менять надо $MY_IP https://opennet.me/openforum/vsluhforumID10/3254.html#2 Mon, 16 Apr 2007 07:55:08 GMT &gt;В связи с существенной разницей в цене на подключение с выделенным/динамическим IP <br>&gt;в пользу последнего, и необходимостью иметь доступ к управлению серверами и <br>&gt;просмотру статистики из внешней сети возникла такая идея: <br>&gt;Есть два (пока два) сервера с динамическими IP (S1 и S2). надо <br>&gt;разрешить SSH и HTTP между ними, И ТОЛЬКО МЕЖДУ НИМИ. Каждый <br>&gt;раз при смене IP на внешнем (подключенном к интернету интерфейсу) сервер <br>&gt;S1 пишет этот адрес в файл S1.ip, а S2 соответственно в <br>&gt;S2.ip на один из сайтов бесплатного хостинга по ftp (скажем http://www.MY.freehost.ru). <br>&gt;<br>&gt;Скрипт запускаемый по крону раз в минуту на наждом из серверов (скажем <br>&gt;S1) проверяет, не обновился ли http://www.MY.freehost.ru/S2.ip. Если обновился - скрипт должен <br>&gt;поменять ОДНО правило файрвола, разрешающее SSH и HTTP к себе с <br>&gt;того IP, что записан в S2.ip. <br>&gt;В IPFW можно было: <br>&gt;ipfw del 1000 <br>&gt;ipfw add 1000 allow и т.д. <br>&gt;А как это реализовать в PF? т.е. не перечитывать всю таблицу заново.. <br>&gt;<br>&gt;Вариант использовать https://opennet.me/openforum/vsluhforumID10/3254.html#1 Sun, 15 Apr 2007 21:12:35 GMT может задействовать таблици, которые могут грузится из файла<br><br><br>