https://www.opennet.ru/openforum/vsluhforumID10/3767.html Доброго времени суток!<br><br>По мануалу никак не могу разобраться с такой проблемой:<br><br>Стоит FreeBSD 6.x, в качестве файрвола используется PF. Необходимо блокировать пользователей внутренней сети по IP адресу. Реализовал я это так:<br>Создал таблицу:<br>table &lt;ipblock&gt; persist { }<br>куда добавляю ip адреса для блокировки.<br><br>Правило для блокировки:<br>block in quick log on $int_if from &lt;ipblock&gt; to any<br><br>Собсно, все работает, за исключением нюанса. Если есть активная сессия на блокируемом ip, ну например кто-то слушает on-line радио, то правило не срабатывает пока сессия не закончится.<br>Насколько я понимаю, это связано с обработкой keep state/modulate state в разрешающих правилах. Тоесть фильтр игнорирует сразу же все пакеты активной сессии. И применяет правило блокирования только для попыток установить новую сессию.<br><br>Вот собсно и вопрос, как сразу же рубить сессию у ip адресов попавших в таблицу ipblock.<br>Наверняка есть простое решение, но я его к сожалению не вижу :-[<br> https://www.opennet.ru/openforum/vsluhforumID10/3767.html#7 Wed, 14 May 2008 12:08:15 GMT &gt;Возникла одна идея, снижать скорость потока до 0 для таблицы с заблокированными <br>&gt;адресами с помощью altq, я думаю должно сработать. ;) <br><br>qwest какойто , и как получилось ? ;) а то мне уже любопытно . <br> https://www.opennet.ru/openforum/vsluhforumID10/3767.html#6 Wed, 14 May 2008 07:09:46 GMT Возникла одна идея, снижать скорость потока до 0 для таблицы с заблокированными адресами с помощью altq, я думаю должно сработать. ;)<br> https://www.opennet.ru/openforum/vsluhforumID10/3767.html#5 Wed, 07 May 2008 09:52:28 GMT Добавил правило, перед всеми остальными:<br>no nat on $ext_if from &lt;ipblock&gt; to any<br><br>К сожалению, не сработало...<br><br>Видимо по этой причине:<br>Translation rules modify either the source or destination address of the packets associated with a stateful connection.<br>A stateful connection is automatically created to track packets matching such a rule as long as they are not blocked by the filtering section of pf.conf.<br><br>Может есть еще идеи как это сделать?<br> https://www.opennet.ru/openforum/vsluhforumID10/3767.html#4 Wed, 30 Apr 2008 11:34:14 GMT &gt;А если изключить из ната таблицу ipblock ? <br><br>Спасибо, попробую! Это должно сработать :)<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3767.html#3 Wed, 30 Apr 2008 08:20:12 GMT А если изключить из ната таблицу ipblock ? <br> https://www.opennet.ru/openforum/vsluhforumID10/3767.html#2 Wed, 30 Apr 2008 07:05:37 GMT &gt;set block-policy какие параметры? <br>&gt;может большую часть конфига покажете ? <br><br>Вот такой у меня конфиг:<br><br>set optimization normal<br>set block-policy drop<br>set limit { states 20000, frags 20000, src-nodes 20000 }<br>set state-policy floating<br><br>table &lt;ipblock&gt; persist { }# localnet users out of traffic limit<br><br>scrub in on $int_if all no-df fragment reassemble<br>scrub in on $ext_if all<br>scrub on $ext_if random-id reassemble tcp<br><br>#------------------<br># NAT<br>nat-anchor "pftpx/*"<br>nat on $ext_if from $int_if:network to any -&gt; ($ext_if)<br>rdr-anchor "pftpx/*"<br>rdr on $int_if proto tcp from any to any port 21 -&gt; 127.0.0.1 port 8021<br><br># squid<br>rdr on $int_if proto tcp from any to any port 80 -&gt; 127.0.0.1 port 3128<br><br>#------------------<br># Filter<br><br>block all<br><br>pass quick on lo0 all<br><br># Antispoffing interfaces <br>antispoof log for $int_if<br>antispoof log for $ext_if<br><br>block in quick log on $int_if from &lt;ipblock&gt; to any<br><br>pass on $int_if from any to any keep state<br><br>pass in log on $ext_if inet proto icmp from an https://www.opennet.ru/openforum/vsluhforumID10/3767.html#1 Wed, 30 Apr 2008 05:51:16 GMT set block-policy какие параметры?<br>может большую часть конфига покажете ? <br><br>