форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"не могу настроить выход в инет"

Сообщение от bash (??) on 07-Апр-08, 15:12

здрасьте и помогите ) не могу настроить выход в инет для VPN-юзеров операционка OpenBSD, pptp-сервер PopTop tcpdum показывает вроде как пакеты не натятся... када юзер подключается - создается интерфейс tun* вот pf.conf: int_if="sk0" ext_if="rl0" int_ip="192.168.222.20" ext_ip="80.80.80.20" int_ip_vpn="172.25.25.1" tcp_services = "{ www }" udp_services = "{ domain }" table <vpn-users> { 172.25.25.0/24 } #нат nat on $ext_if inet from <vpn_users> to any -> ($ext_if) #по дефолту блочим всё block in all pass out proto { tcp, udp, icmp } all keep state pass in on lo0 all pass out on lo0 all pass in inet proto icmp all icmp-type echoreq keep state pass in on $int_if proto gre from any to $int_ip pass out on $int_if proto gre from $int_ip to any pass in on $int_if inet proto tcp from any to $int_ip port = 1723 flags S/SA keep state

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "не могу настроить выход в инет"

Сообщение от bash (??) on 07-Апр-08, 17:52

вобщем проблему победил (вместо таблицы vpn_users использовал этот же макрос) теперь мой pf.conf принял следующий вид (см. ниже) уважаемые гуру, укажите на ошибки, если таковые имеются волнует безопасность как сервера, так и клиентов pptp да, кстати, у меня OpenBSD 4.2 разрешается ходить в инет тока серверу ) и пользователям pptp int_if="sk0" #локалка ext_if="rl0" #интернет (реальный адрес) int_ip="192.168.222.20" ext_ip="80.80.80.20" vpn_grp = "tun" tcp_services = "{ www }" udp_services = "{ domain }" vpn_users = "172.25.25.0/24" #адреса, которые присваиваются клиентам pptp (172.25.25.1 - серверу) table <ssh-bruteforce> persist scrub in all set skip on lo0 #включаем нат nat on $ext_if from $vpn_users -> ($ext_if) #по дефолту блочим всё block in all #Активируем защиту на внутреннем интерфейсе от spoof атак. antispoof quick for $int_if inet #разрешаем исходящие соединения и следим за их состоянием pass out keep state #разрешаем icmp-пакеты (пинги) pass in inet proto icmp all icmp-type echoreq keep state #разрешаем наши сервисы pass in on $int_if proto tcp from any to $int_if port $tcp_services flags S/SA keep state pass in on $ext_if proto tcp from any to $ext_if port $tcp_services flags S/SA keep state pass in on $ext_if proto udp from any to $ext_if port $udp_services keep state #разрешаем и защищаем от брутфорса ssh pass in on $int_if proto tcp from any to $int_if port ssh flags S/SA keep state block drop in quick on $ext_if from <ssh-bruteforce> pass in on $ext_if proto tcp from any to ($ext_if) port ssh flags S/SA keep state (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global) #следующие три строчки разрешают pptp на внутреннем интерфейсе pass in on $int_if proto gre from any to $int_ip pass out on $int_if proto gre from $int_ip to any pass in on $int_if inet proto tcp from any to $int_ip port = 1723 flags S/SA keep state #разрешаем pptp-клиентам ходить в интернет pass in on $vpn_grp inet from any keep state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "не могу настроить выход в инет"
	Сообщение от bash (??) on 08-Апр-08, 11:49
	нету спецов по PF ??
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]