forum.opennet.ru

"Вопросы по pf"

Форум Открытые системы на сервере
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Вопросы по pf"	+/–
Сообщение от reader (ok), 25-Окт-13, 17:27
>[оверквотинг удален] > lannet = "10.0.0.0/16" > ext_ip = "87.87.87.86/30" > ext_ip_SERV1 = "87.87.87.87/32" > SERV1 = "10.0.1.7/32" > # Ports > icmp_types="{ echoreq, unreach}" > # NAT для сети 10.0.0.0 > nat on $ext_if from $lannet to any -> $ext_ip > # NAT для SERV1 > nat on $ext_if from $SERV1 to any -> $ext_ip_SERV1 $lannet перекрывает $SERV1 поэтому это правило лучше поднять над # NAT для сети 10.0.0.0 > # Пробрасываем порты на SERV1 > rdr on $ext_if proto {tcp, udp} from any to $ext_ip_SERV1 port 7777 > -> $SERV1 port 7777 > # Блокируем всё > block log all > #Разрешаем доступ из интернета к SERV1 > pass in on $ext_if inet proto { tcp,udp } from any to > any port $SERV1 flags S/SA keep state port $SERV1 - нет > # Выпускаем SERV1 > pass in on $int_if proto {tcp, udp} from $SERV1 to any port > 7777 тут порт наверно не на месте > #Разрешить все исходящие на внешнем интерфейсе > pass out on $ext_if keep state > #Разрешить все исходящие на внутр. интерфейсе > pass out on $int_if keep state если фря не старая , то keep state сама будет добавлять
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Вопросы по pf, orzon, 25-Окт-13, 12:04 [смотреть все]

Да у вас хрен победишь, что написано Если так обстоит в действительности, то не, михалыч, 25-Окт-13, 12:57 (1) //
- gt оверквотинг удален Здесь приведен отрывок из файла ext_if rl1 внешн, orzon, 25-Окт-13, 14:03 (2) //
  - Вы меня слышите, вообще Эти строки, указанные вами выше, несовместимы между собо, михалыч, 25-Окт-13, 14:51 (3) //
    - gt оверквотинг удален Есть еще и другие подсети 10 0 0 0 и другие Их тоже н, orzon, 25-Окт-13, 17:06 (4)
      - gt оверквотинг удален lannet перекрывает SERV1 поэтому это правило лучше под , reader, 25-Окт-13, 17:27 (5)
      - Тут коллега подсказал по поводу перекрытия диапазона IP-адресов Можно ещё дополн, михалыч, 25-Окт-13, 18:31 (6)
        
        Немного разобрался Только не могу разрешить icmp на внешнем интерфейсе Portsicm, orzon, 28-Окт-13, 14:01 (7)
        
        PS Разобрался ошибкой строка такая и должна быть pass inet proto icmp all icmp, orzon, 28-Окт-13, 17:13 (8)
        
        Подскажите, пожалуйста, правильно ли я предоставил доступ из других подсетей к в, orz, 01-Ноя-13, 14:30 (9)
        
        вообще то вы не предоставили доступ к внешнему адресу gt оверквотинг удален тут, reader, 01-Ноя-13, 15:22 (10)
        
        как я понял, вместонужно написать так nat on int_if from int_if to SERV1 port, orz, 01-Ноя-13, 15:33 (11)
        
        нет, нат делаете на интерфейсе смотрящем на SERV1 и подставляете ip этого интер, reader, 01-Ноя-13, 15:39 (12)
        
        Я пытаюсь делать по примеру Комбинация RDR и NAT С дополнительным правилом NAT н, orz, 01-Ноя-13, 16:12 (13)
        gt оверквотинг удален from vlan21 или from vlan22 SERV1 в lannet nat on , reader, 01-Ноя-13, 16:25 (14)
        gt оверквотинг удален но если vlan22 подсеть не пересекается адресами с lannet, reader, 01-Ноя-13, 16:40 (15)
        gt оверквотинг удален У вас в строке int_if rlo интерфейс неправильно проп, михалыч, 01-Ноя-13, 17:17 (16)
        Добрый день В настоящее время на сервере используется ipnat и ipf Перекомпилиров, orz, 05-Ноя-13, 11:09 (17)
        gt оверквотинг удален netstat -nrifconfigpfctl -sr, reader, 05-Ноя-13, 12:04 (18)
        О_о А как вы умудрились кавычки-ёлочки вставить Может всё же так pf_enable YES , михалыч, 05-Ноя-13, 17:44 (19)
        Это я просто вставил из блокнота В rc conf все правильно написано ifconfigвсе, orz, 07-Ноя-13, 18:18 (20)
        gt оверквотинг удален Эх Ну дайте вывод полный тех команд, что просили выше , михалыч, 10-Ноя-13, 12:54 (21)
        Сократил пока так pf conf Interfacesint_if rl0 ext_if fxp0 IP Addressla, orzon, 11-Ноя-13, 18:49 (22)
        87 87 87 209 - мой шлюз vlan21 имеется ввиду для других подсетей, orzon, 12-Ноя-13, 09:43 (23)
        Подскажите, почему после запуска PF блокируется трафик как в интернет, так и в л, orzon, 18-Ноя-13, 14:43 (24)
        показывайте настройки сети и текущие правила после запуска PF, выше вы показывае, reader, 18-Ноя-13, 15:13 (25)
        Вот pf conf Interfacesint_if rl0 ext_if fxp0 IP Addresslan_DMZ 10 0 , orzon, 18-Ноя-13, 17:51 (26)
        вы хотите сказать что из этого pf conf получили правила которые показали по pfct, reader, 18-Ноя-13, 21:58 (27)
        Да Я сам не понимаю откуда берутся blockДаже если написать вместо block all - , orzon, 20-Ноя-13, 18:19 (28)
        gt оверквотинг удален значит стирайте абсолютно все из pf conf включая set , , reader, 20-Ноя-13, 20:53 (29)
        gt оверквотинг удален pf conf Interfacesint_if rl0 ext_if fxp0 IP Add, orzon, 23-Ноя-13, 12:14 (30)
        gt оверквотинг удален чудесазапускаете пинг из 10 0 1 0 24 и снимаете дамп tcp, reader, 25-Ноя-13, 14:44 (31)
        Я сделал новый сервер в качестве шлюза PF в минимальной конфигурации запустился , orzon, 23-Дек-13, 11:34 (32)
        Лучше будет разложить это правило на два явных rdr on ext_if proto udp from any, Аноним, 24-Дек-13, 09:28 (33)
        Спасибо Еще один вопрос Созданы vlan на внутреннем интерфейсе в rc confcloned_in, orzon, 26-Дек-13, 16:38 (34)
        А если вместо block all временно поставить pass all то работает Вроде block all , Аноним, 27-Дек-13, 09:13 (35)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру