Новые ответы

Помогите настроить pf,

lemurid, 31-Июл-09, 22:55 [смотреть все]

А то выползают глюки. К примеру не работает редирект на сквид... (
Вкратце сеть. Через нее ходят пользователи. + VPN на MPD. На шлюзе на котором настраиваем веб сервер редиректит на эксчейндж. Приму любые советы от мэтров.
pf.conf
ext_if="rl0" (Статический айпи, интерфейс во внешний мир)
vpn_if="{ng0, ng1, ng2, ng3, ng4}" (айпи диапазон выделяется mpd)
int_if="fxp0" (статический айпи 10.10.10.1)
trusted_lan="10.10.10.0/24"
localnet="127.0.0.0/8"
icmp_types="{echoreq, unreach}"
set block-policy return
set skip on lo0
set skip on $int_if (если убрать перестает работать vpn подсеть. Как не пробовал написать правило. Увы примеров не нашел)
set skip on $vpn_if
scrub in all
# NAT
rdr on $int_if proto tcp from $trusted_lan to any port www -> 127.0.0.1 port 3128
nat on $ext_if from $trusted_lan to any -> $ext_if
#----------------------------------------------------
block all
pass out on $ext_if from $ext_if to any keep state
pass out on $ext_if from $trusted_lan to any keep state
pass in on $ext_if proto tcp from any to $ext_if port ssh
pass in on $int_if proto tcp from any to $int_if port ssh
pass in on $ext_if proto tcp from any to $ext_if port 1723
pass in on $vpn_if proto tcp from any to $trusted_lan port rdp
pass out on $vpn_if proto tcp from $trusted_lan to any
pass in on $ext_if proto tcp from any to $ext_if port 80 keep state
pass in on $ext_if proto tcp from any to $ext_if port 443 keep state
pass log inet proto icmp all

Ответить | Сообщить модератору

Помогите настроить pf, reader, 13:32 , 01-Авг-09 (1)
Помогите настроить pf, artemrts, 13:47 , 01-Авг-09 (2)

Помогите настроить pf, lemurid, 13:34 , 03-Авг-09 (3)
Спасибо всем. Переписал правила сам. Вот что получилось. Все равно с машин во внутренней сети даже при остановке сквида, интернет продолжает поступать
ext_if="rl0"
vpn_if="{ng0, ng1, ng2, ng3, ng4}"
int_if="fxp0"
#Задаем локальные сервисы
ppp_srv="{ 22, 80, 443, 1723}"
trusted_lan="10.10.10.0/24"
localnet="127.0.0.0/8"
icmp_types="{echoreq, unreach}"
set block-policy return
set skip on lo0
scrub in all
# NAT
rdr on $int_if proto tcp from $int_if to any port www -> 127.0.0.1 port 3128
Выше вначале пробовал from $trusted_lan to any port www -> 127.0.0.1 port 3128 эффект такой же
nat on $ext_if from !$ext_if -> $ext_if
block all
################################
pass quick on $vpn_if
pass quick on $int_if
# Traffic from gateway
pass out on $ext_if from $ext_if to any
#Включаем локальные сервисы
pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv
# ICMP
pass log inet proto icmp all
Ответить | Сообщить модератору

Помогите настроить pf, artemrts, 14:04 , 03-Авг-09 (4)

Помогите настроить pf, lemurid, 17:39 , 09-Авг-09 (5)
>
>Так нат закоментируй.
Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копать
Ответить | Сообщить модератору

Помогите настроить pf, reader, 21:44 , 09-Авг-09 (6)

Помогите настроить pf, lemurid, 23:23 , 13-Авг-09 (7)
>начните с параметров сборки и версии squid.
>в access.log при запросе что-то пишется?
Не буду приводить опции сквид, лишь приведу конфиг.
FBSD - 7.2 squid-3.0.16

Строчка
rdr on $int_if proto tcp from ANY to any port www -> 10.10.10.1 port 3128
исправила все.
Ответить | Сообщить модератору