The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите разобраться с файерволом PF"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / OpenBSD)
Изначальное сообщение [ Отслеживать ]

"Помогите разобраться с файерволом PF"  –1 +/
Сообщение от Saniok on 01-Апр-15, 09:40 
Добрый день!
Достался мне в наследство маршрутизатор на опенБЗД с файерволом PF. Вроде как в настройках не сильно закавыристый, но никак не могу разрешить пинговать внешние ресурсы с внутренней сети. С маршрутизатора всё пингуется, а из офисных машин глухо. Доменные имена определяет в айп.
В файле настройки есть такие строки:
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state
(ping 8.8.8.8 - Ответ от 192.168.0.1: Заданный порт недоступен)

Помогите найти в чём проблема.

Полный набор правил:

####################################################################################
ext_if = "rl0"
int_if = "rl1"

port_nat_tcp = "{22,9014,9015,7002,8443,1863,1930,1931,1932,1933,1934}"
port_nat_udp = "{5938,500,4500,10000}"
local_services = "{8000, 3333, ftp, ftp-data, ssh, smtp, 465, http, 8025, 993, 8080}"
allow_mysql = "{77.77.77.77, 127.0.0.1}"
mysql_service = "{3306}"
rfc1918nets = "{127.0.0.1/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 192.168.1.0/24}"
my_lan= "192.168.0.0/24"
wifi="192.168.0.252"
icmp_types = "echoreq"
allow_pop3 = "{11.11.11.11, 22.22.22.22, 33.33.33.33}"
allow_smtp = "{smtp.lucky.net}"
sql_allow_in = "{11.11.11.11,22.22.22.22,33.33.33.33,44.44.44.44,55.55.55.55,66.66.66.66,88.88.88.88,99.99.99.99,00.00.00.00)
sql_allow_in2 = "{11.11.11.11,22.22.22.22,33.33.33.33}"
ext_servers = "{11.11.11.11,22.22.22.22}"

table <spamd-white> persist
table <whitelist> persist file "/etc/exim/whiteip"
table <whitelist> persist file "/etc/exim/spfip"
table <officeips> persist file "/etc/pf/office"
table <nat_user> persist file "/etc/pf/nat_user"

#options
set block-policy return
set loginterface $ext_if
set loginterface $int_if
set skip on lo

#nat/rdr
pass out quick on $ext_if proto tcp from <officeips> to any port $port_nat_tcp nat-to $ext_if
pass out quick on $ext_if proto udp from <officeips> to any port $port_nat_udp nat-to $ext_if
pass out quick on $ext_if proto {tcp,udp} from any to $ext_servers nat-to $ext_if
pass out quick on $ext_if proto {tcp,udp} from $wifi to any nat-to $ext_if
pass out quick on $ext_if proto {tcp,udp} from <nat_user> to any nat-to $ext_if

#pop3+smtp
pass out quick on $ext_if proto tcp from <officeips> to $allow_pop3 port 110 nat-to ($ext_if:0)

#camrecorders
pass out quick on $ext_if from 192.168.0.150 to any nat-to $ext_if
pass out quick on $ext_if from 192.168.0.151 to any nat-to $ext_if

#ext redirects
#pass in on $ext_if proto tcp from any to $ext_if port 20010 rdr-to 192.168.0.10 port 3389
pass in quick on $ext_if proto tcp from any to $ext_if port 20010 rdr-to 192.168.0.10 port 4899
pass in quick on $ext_if proto tcp from any to $ext_if port 20070 rdr-to 192.168.0.210 port 4899
pass in quick on $ext_if proto tcp from any to $ext_if port 20150 rdr-to 192.168.0.150 port 4899
pass in quick on $ext_if proto tcp from any to $ext_if port 20003 rdr-to 192.168.0.3 port 4899
pass in quick on $ext_if proto tcp from any to $ext_if port 20060 rdr-to 192.168.0.60 port 4899
pass in quick on $ext_if proto tcp from any to $ext_if port 20072 rdr-to 192.168.0.72 port 4899

#samoturtest 192.168.0.201
pass in quick on $ext_if proto tcp from any to $ext_if port 20201 rdr-to 192.168.0.201 port 3389
pass in quick on $ext_if proto tcp from any to $ext_if port 3389 rdr-to 192.168.0.201 port 17543
pass in quick on $ext_if proto udp from any to $ext_if port 5116 rdr-to 192.168.0.201 port 5116
pass in quick on $ext_if proto tcp from $sql_allow_in to $ext_if port 41408 rdr-to 192.168.0.200 port 1433
pass in quick on $ext_if proto tcp from $sql_allow_in2 to $ext_if port 1433 rdr-to 192.168.0.200 port 1433

#videonablyudenie.
pass in quick on $ext_if proto tcp from any to $ext_if port 1500 rdr-to 192.168.0.150 port 1500
pass in quick on $ext_if proto tcp from any to $ext_if port 1501 rdr-to 192.168.0.151 port 1501

#camrecorder1
pass in quick on $ext_if proto tcp from any to $ext_if port 51211 rdr-to 192.168.0.151 port 80

#SPAMD
#custom whitelist
pass in quick on $ext_if proto tcp from <whitelist> to $ext_if port smtp rdr-to ($ext_if) port smtp
pass in quick on $ext_if proto tcp from ! <spamd-white> os Windows to $ext_if port smtp rdr-to (lo0) port spamd
==============================================================================================================================
#filter
anchor "ftp-proxy/*"
block all

pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state

pass out keep state
antispoof quick for {lo}

#services
pass on $int_if inet proto tcp from any to $ext_servers
pass in on $ext_if inet proto tcp from any to $ext_if port $local_services
pass in on $ext_if inet proto tcp from $allow_mysql to $ext_if port $mysql_service
pass in on $ext_if proto udp from any to $ext_if port {domain}
pass in on $ext_if proto tcp from any to $ext_if port {domain}
pass in on $ext_if proto tcp from any to any port > 49151 keep state.

#allow redirect
pass in on $ext_if inet proto tcp from any to 192.168.0.3 port 4899 flags S/SA synproxy state

############################allow redirect SAMOTUR TEST
pass in on $ext_if inet proto tcp from any to 192.168.0.200 port 3389 flags S/SA synproxy state
pass in on $ext_if inet proto tcp from any to 192.168.0.201 port {4899, 17543, 3389} flags S/SA synproxy state
pass in on $ext_if inet proto udp from any to 192.168.0.201 port 5116
pass in on $ext_if inet proto tcp from any to 192.168.0.201 port 4899 flags S/SA synproxy state
pass in on $ext_if proto tcp from any to ($ext_if) port ssh flags S/SA keep state (max-src-conn-rate 3/30, overload <ssh-bruteforce> fl
pass in on $ext_if proto tcp from any to ($ext_if) port ftp

block on $ext_if from $rfc1918nets to any
block drop in quick on $ext_if from <ssh-bruteforce>
pass in on $int_if from <officeips> to any
pass on $ext_if from 11.11.11.11 to any


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите разобраться с файерволом PF"  +1 +/
Сообщение от Pahanivo (ok) on 01-Апр-15, 10:00 
> Достался мне в наследство маршрутизатор на опенБЗД с файерволом PF.

т.е. другими словами, ты, дружок, устроился на работу, которую работать не умеешь и пришел сюда задавать глупые вопросы, чтобы твою работы поработали другие? извини, но тут таки стада проносятся мимо, в даль ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите разобраться с файерволом PF"  –2 +/
Сообщение от Saniok on 02-Апр-15, 14:01 
>> Достался мне в наследство маршрутизатор на опенБЗД с файерволом PF.
> т.е. другими словами, ты, дружок, устроился на работу, которую работать не умеешь
> и пришел сюда задавать глупые вопросы, чтобы твою работы поработали другие?
> извини, но тут таки стада проносятся мимо, в даль ...

Дело не в умении, обслуживаю фирму удалённо, и правило в PF для прохода icmp пакетов есть, неделю шерстил инет в поисках ответа, извращался с правилами по разному, но проблему найти не могу ... если нет желания помочь, то нечего тут показывать своё недовольство.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Помогите разобраться с файерволом PF"  +1 +/
Сообщение от Pahanivo (ok) on 02-Апр-15, 15:15 
> Дело не в умении, обслуживаю фирму удалённо, и правило в PF для
> прохода icmp пакетов есть, неделю шерстил инет в поисках ответа, извращался
> с правилами по разному, но проблему найти не могу ...

Задорнов прав!


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Помогите разобраться с файерволом PF"  +/
Сообщение от universite email(ok) on 03-Апр-15, 01:46 
>> Дело не в умении, обслуживаю фирму удалённо, и правило в PF для
>> прохода icmp пакетов есть, неделю шерстил инет в поисках ответа, извращался
>> с правилами по разному, но проблему найти не могу ...
> Задорнов прав!

+100500

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Помогите разобраться с файерволом PF"  +1 +/
Сообщение от krpsh on 02-Апр-15, 15:22 
у вас разрешаюшее правило есть, а правила для ната icmp нету
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Помогите разобраться с файерволом PF"  +1 +/
Сообщение от Pahanivo (ok) on 03-Апр-15, 06:27 
> у вас разрешаюшее правило есть, а правила для ната icmp нету

не надо делать за человека работу, за которую он ПОЛУЧАЕТ ДЕНЬГИ, а вы НЕТ
его проблема это не проблема, а не умение читать и думать. вопросы из мануалов это по правилам форума офтоп.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Помогите разобраться с файерволом PF"  +1 +/
Сообщение от krpsh on 03-Апр-15, 07:56 
> его проблема это не проблема, а не умение читать и думать

согласен полностью, но может он одумается (хочется верить) и впредь будет читать и думать

вы все же очень строги
человек пришел на форум с проблемой в надежде, что кто-то ему покажет верный путь к решению
я же не написал правило для pf :-)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Помогите разобраться с файерволом PF"  +2 +/
Сообщение от Pahanivo (ok) on 03-Апр-15, 10:12 
> вы все же очень строги
> человек пришел на форум с проблемой в надежде, что кто-то ему покажет
> верный путь к решению
> я же не написал правило для pf :-)

я тут не первый год блуждаю, и к сожалению, должен констатировать весьма печальную динамику ...
если человек не способен на элементарные мозговые потуги - пусть идет торгует помидорами, ведь это уже не тупость, а тупая наглость.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Помогите разобраться с файерволом PF"  +/
Сообщение от co6aka (ok) on 04-Апр-15, 04:48 
А чем сейчас ситуация отличается от ситуации 10-20 лет назад? Тогда тоже админы админили и получали деньги. Но люди помогали друг другу, делились опытом и знаниями. И сейчас так делают, культурно, даже удивительно порой как разжевывают материал или ошибки. Но, в основном, только на буржуйских форумах...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Помогите разобраться с файерволом PF"  +2 +/
Сообщение от Pahanivo (ok) on 06-Апр-15, 09:54 
> А чем сейчас ситуация отличается от ситуации 10-20 лет назад? Тогда тоже
> админы админили и получали деньги. Но люди помогали друг другу, делились
> опытом и знаниями.

20 лет назад не было инета у каждого идиота, и людям намного чаще приходилось
думать головой без поиска в гугле. и каждый кретин, возомнивший себя "одмыном" был с вероятностью 100% обречен на провал.

> И сейчас так делают, культурно, даже удивительно порой
> как разжевывают материал или ошибки. Но, в основном, только на буржуйских
> форумах...

не видел чтобы буржуи цитировали маны ... особенно разжевывали, разжевывание манов это само по себе уже идиотизм. к тому же зачем разжевывать что-то человеку который фаервол освоить не может в течении недели, но при этом "работает удаленно". мне лично, подобная помощь видится воспитанием коллег-идиотов - и лично мне совершенно не нужно, как думаю и всем остальным людям от IT.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Помогите разобраться с файерволом PF"  +/
Сообщение от co6aka (ok) on 07-Апр-15, 14:08 
Вас это так беспокоит?
Лично я не вижу смысла писать посты без призумции невиновности к опоненту. Тратить силы и буковки для унижения других и переход на личности... Могу помочь - помогаю. Не могу или не хочу - занимаюсь своими делами.
PS: Печально, что раньше мы были юны и просто помогали, а сейчас мы больше все про деньги и про свою гордыню.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Помогите разобраться с файерволом PF"  +/
Сообщение от Pahanivo (ok) on 07-Апр-15, 19:11 
да что ты, уважаемый, я никого не хотел обидеть или оскорбить - так, "в общем" рассуждаю про поколение "пепси" :)
к сожалению, приходилось по работе порой сталкиваться с такими "про, работающими удаленно" - понтов много, мозгов нет, а когда своих мозгов нет начинаем трахать мозги окружающим.
когда человек сам пытался решить проблему - это видно, и я помогу если могу без проблем. а подобных наглых ТС не терплю, чесно слово :)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Помогите разобраться с файерволом PF"  +/
Сообщение от universite email(ok) on 07-Апр-15, 20:02 
> да что ты, уважаемый, я никого не хотел обидеть или оскорбить -
> так, "в общем" рассуждаю про поколение "пепси" :)
> к сожалению, приходилось по работе порой сталкиваться с такими "про, работающими удаленно"
> - понтов много, мозгов нет, а когда своих мозгов нет начинаем
> трахать мозги окружающим.
> когда человек сам пытался решить проблему - это видно, и я помогу
> если могу без проблем. а подобных наглых ТС не терплю, чесно
> слово :)

Вы не забывайте, сколько таких новичков на опеннете.
Каждому писать такое послание - жизни не хватит.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Помогите разобраться с файерволом PF"  +/
Сообщение от Pahanivo (ok) on 08-Апр-15, 09:00 
> Вы не забывайте, сколько таких новичков на опеннете.
> Каждому писать такое послание - жизни не хватит.

Я просто процитирую от сюда: https://www.opennet.ru/boardhelp.html
- напишите, какие усилия вы уже предприняли для её решения
Hикто не любит выразительно вслух читать по слогам выдержки из документации. Постарайтесь сначала найти ответ самостоятельно. Внутри linux есть масса документации, которую можно прочитать воспользовавшись командой man.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

11. "Помогите разобраться с файерволом PF"  +/
Сообщение от Saniok on 07-Апр-15, 09:31 
> у вас разрешаюшее правило есть, а правила для ната icmp нету

Спасибо большое за помощь !!! про НАТ я просто не подумал, прописал правило и всё заработало !!! Удачи !!!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Помогите разобраться с файерволом PF"  +/
Сообщение от Saniok on 07-Апр-15, 09:34 
>> у вас разрешаюшее правило есть, а правила для ната icmp нету
> Спасибо большое за помощь !!! про НАТ я просто не подумал, прописал
> правило и всё заработало !!! Удачи !!!

Получается что данные правила:
pass in inet proto icmp all icmp-type $icmp_types keep state
pass out inet proto icmp all icmp-type $icmp_types keep state
вообще ни к чему.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Помогите разобраться с файерволом PF"  +/
Сообщение от universite email(ok) on 07-Апр-15, 16:58 
>> у вас разрешаюшее правило есть, а правила для ната icmp нету
> Спасибо большое за помощь !!! про НАТ я просто не подумал, прописал
> правило и всё заработало !!! Удачи !!!

Не прошло и недели...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру