Готовится статья "PF : Конфиг для офисов"

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
iZEN
ст. лейтенант
Сообщения: 1095
Зарегистрирован: 2007-09-15 16:45:26
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение iZEN » 2009-01-07 15:07:31

Grishun_U_S писал(а):Ну.... все готово, прошу любить и жаловать!
Аcсиметричный пишется так: Асимметричный
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-01-08 11:08:51

iZEN писал(а):
Grishun_U_S писал(а):Ну.... все готово, прошу любить и жаловать!
Аcсиметричный пишется так: Асимметричный
СПС
поправил.
Изображение

asdf
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение asdf » 2009-01-11 19:04:53

Есть
altq on $ext_if cbq bandwidth 970Kb queue \
{ qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }
queue qboss bandwidth 38% priority 2 cbq ( borrow )

а где видно что qboss -это именно комп босса? Где привязка к ip?

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-01-12 7:37:24

asdf писал(а):Есть
altq on $ext_if cbq bandwidth 970Kb queue \
{ qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }
queue qboss bandwidth 38% priority 2 cbq ( borrow )

а где видно что qboss -это именно комп босса? Где привязка к ip?
сделайте поиск по конфигу строки "qboss"
Изображение

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-18 13:20:44

Статья понравилась.

Недавно сменил место работы и пришлось пересесть на фряху =)
Опыта мало, сижу вот корплю над мануалами.

Лучшей статьи по реальному конфигу pf на примере реального офиса не встречал.

У меня не получается завернуть трафик на проксик.

В имеющем место быть старом конфиге можно все и всем + пара редиректов для банк-клиента.
Самс поднят и трафик считает по логам сквида.

Но при применении новых правил браузер пишет, что "вы пытаетесь подключиться к прокси, но который сбрасывает соединения"...

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-18 14:58:29

Alti писал(а):Статья понравилась.

Недавно сменил место работы и пришлось пересесть на фряху =)
Опыта мало, сижу вот корплю над мануалами.

Лучшей статьи по реальному конфигу pf на примере реального офиса не встречал.

У меня не получается завернуть трафик на проксик.

В имеющем место быть старом конфиге можно все и всем + пара редиректов для банк-клиента.
Самс поднят и трафик считает по логам сквида.

Но при применении новых правил браузер пишет, что "вы пытаетесь подключиться к прокси, но который сбрасывает соединения"...
Спасибо за отзыв.
Если есть возможность, прошу проверить следующее, вместо этого :

Код: Выделить всё

pass in on $int_if  proto tcp from { $boss, $buh, $admin } to $proxy_if port $proxy_port
написать

Код: Выделить всё

pass in on $int_if  proto tcp from { $boss, $buh, $admin } to any port $proxy_port
если дело в нем -- значит у меня в статье ошибка.
Изображение

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-18 16:11:46

Да, заработало.
Во всяком случае инет через браузер начал ходить, а вот аська отвалилась)
Ну это уже сквидовские траблы, по-мойму.
Спасибо.

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-18 19:33:47

Alti писал(а):Да, заработало.
Во всяком случае инет через браузер начал ходить, а вот аська отвалилась)
Ну это уже сквидовские траблы, по-мойму.
Спасибо.
Аська шифрует пакеты, нужно либо пускать ее в обход прокси, либо явно указывать в ICQ клиенте адрес прокси и порт.
Ошибку в статье исправил, спасибо за обратную связь.
Изображение

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-19 17:41:27

Прошу сразу простить, если вопрос покажетсо глупым)
Просто я учусь и пытаюсь разобраться...

в Правилах.
Насторожила следующая строчка... Поэтому прошу пояснить логику..

Код: Выделить всё

# умников, которые лезут на внутренний интерфейс с любых сетей
# отличных от 192.168.0.0/24
block drop in log quick on $int_if from !$int_if:network to any
Я правильно читаю правило?
"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
Настораживает "to any". Не будет ли это правило блокировать какие либо полезные пакеты?

И в мануале я сталкивался с разрешающим правилом:

Код: Выделить всё

pass quick on lo0 all
В обсуждаемом конфиге я не могу найти правила, замещающие это..

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-19 17:58:27

Я просто это к тому.. что никак не получается у меня понять, почему https обрубается на корню...
Возвращая ответ через браузер, что yandex.ru:443 не доступен..

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение m0ps » 2009-02-19 18:02:53

"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
правильно без последнего выражения, т.к. если позже идут правила, они могут полностью заменить текущее собой

у меня в конфиге всегда вначале идет block all, потом pass out all, а дальше pass для определенных пакетов

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-19 18:32:26

А как же параметр quick... или я его неправильно понимаю?
у меня в конфиге всегда вначале идет block all, потом pass out all, а дальше pass для определенных пакетов
то есть block'ов вообще больше нет? Ваш вариант кажется логичным... только у меня появился вопрос. на производительность это не влияет?
Ведь "block quick" отбрасывает сразу пакет, попадающий под правило, а не прогоняет его через последовательность разрешающих правил, которых может быть много...

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение m0ps » 2009-02-19 19:23:17

А как же параметр quick... или я его неправильно понимаю?
сори... я не досмотрел... действительно...

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-19 19:36:23

И еще один вопрос, на который я сам ответить пока затрудняюсь и нуждаюсь в аргументированном ответе...

NAT транслирует пакеты раньше фильтрации и затем пакет с подменными адресом и портом должен пройти правила фильтров.
Причем, как подчеркивают в мануале, как раз и надо обращать внимание на изменения...
Если честно, то с непривычки у меня это вызывает некоторую панику) Тем более я все еще нахожусь под влиянием керио, где приоритет правил другой.
В том же мануале упоминают, что параметр pass позволить натить поверх фильтров.

Вопрос, собсно, в следующем. Чем отличаются эти 2 варианта:
1й - просто правило nat, и затем явно описывать правила для ната в фильтрах
2й - указать правило nat pass и забыть про это?

Чувствую же.. где-то собака зарыта... :smile:

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-19 19:43:36

Alti писал(а):Прошу сразу простить, если вопрос покажетсо глупым)
Просто я учусь и пытаюсь разобраться...

в Правилах.
Насторожила следующая строчка... Поэтому прошу пояснить логику..

Код: Выделить всё

# умников, которые лезут на внутренний интерфейс с любых сетей
# отличных от 192.168.0.0/24
block drop in log quick on $int_if from !$int_if:network to any
Я правильно читаю правило?
"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
Настораживает "to any". Не будет ли это правило блокировать какие либо полезные пакеты?
Нет не будет. Допустим, у тебя локалка 192.168.0.0/24
если по int_if пройдут пакеты с адресом src, например от 10.0.0.1, 172.16.0.1 то они попадут под это правило и будут заблокированы. И так будет с любыми адресами НЕ из диапазона 192.168.0.0/24. Вот как следует это читать.
Изображение

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-19 20:13:08

Нет не будет. Допустим, у тебя локалка 192.168.0.0/24
если по int_if пройдут пакеты с адресом src, например от 10.0.0.1, 172.16.0.1 то они попадут под это правило и будут заблокированы. И так будет с любыми адресами НЕ из диапазона 192.168.0.0/24. Вот как следует это читать.
Согласен полностью :smile: , вопрос в другом.

Ты пишешь в коментариях, что режешь всех кто ломится на внутренний интерфейс прокси не из локалки.
Так может правило надо окончить не " to any", а на "to $int_if"

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-19 21:05:47

Буду очень рад, если покажите где копать следующий трабл.
С сайтом yandex.ru связь очень не устойчивая. Иногда чтобы прошло какое либо действие "сохранить, отправить, просмотреть вложениеи т.д." приходится делать по несколько раз, так как браузер просто зависает. Причем, что эксплорер 7, что мазила 3.
С любой машины в сетке, практически.
Причем иногда все работает хорошо, а потом снова зависон...

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-19 21:10:09

Alti писал(а): Согласен полностью :smile: , вопрос в другом.

Ты пишешь в коментариях, что режешь всех кто ломится на внутренний интерфейс прокси не из локалки.
Так может правило надо окончить не " to any", а на "to $int_if"
Так нам пофигу куда он ломится : непосредственно ли на сервис который слушает порт на интерфейсе $int_if (твое предложение)
или куда-то еще используя нас как gateway (to any).
Запусти tcpdump на $int_if и набери в браузере любой адрес, потом другой адрес увидишь что dst будет меняться от ресурса к ресурсу, поэтому используется any.
А ты наверно имеешь ввиду трафик, который перенаправляется на порт сквида. Кроме этого трафика есть весь остальной.
Изображение

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-20 7:47:19

Alti писал(а):И еще один вопрос, на который я сам ответить пока затрудняюсь и нуждаюсь в аргументированном ответе...

2й - указать правило nat pass и забыть про это?
покажи где ты это вычитал
Изображение

Alti
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alti » 2009-02-20 12:36:38

покажи где ты это вычитал
http://www.opennet.ru/base/net/pf_faq.txt.html
NAT и фильтрация пакетов:

ОБРАТИТЕ ВНИМАНИЕ: Оттранслированные пакеты должны все еще должны
проходить через механизм фильтрации и будут блокированы или переданы
на основании правил фильтрации. Единственное исключение будет сделано
при наличии ключевого слова pass при использовании в пределах правила
NAT. Это заставит NATed пакеты передавать через механизм фильтрации.
Также знайте, что трансляция происходит перед фильтрацией и механизм
фильтрации будет видеть оттранслированный пакет с оттранслированным
адресом IP и портом.

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-20 19:00:51

Alti писал(а): http://www.opennet.ru/base/net/pf_faq.txt.html
NAT и фильтрация пакетов:

ОБРАТИТЕ ВНИМАНИЕ: Оттранслированные пакеты должны все еще должны
проходить через механизм фильтрации и будут блокированы или переданы
на основании правил фильтрации. Единственное исключение будет сделано
при наличии ключевого слова pass при использовании в пределах правила
NAT. Это заставит NATed пакеты передавать через механизм фильтрации.
Также знайте, что трансляция происходит перед фильтрацией и механизм
фильтрации будет видеть оттранслированный пакет с оттранслированным
адресом IP и портом.
а.... есть такое. Ответ на твой вопрос :
Вопрос, собсно, в следующем. Чем отличаются эти 2 варианта:
1й - просто правило nat, и затем явно описывать правила для ната в фильтрах
2й - указать правило nat pass и забыть про это?
Принципиальной разницы нет.
Изображение

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение m0ps » 2009-02-20 19:16:11

Grishun_U_S писал(а): Принципиальной разницы нет.
принципиальной - да, а вот с практической стороны - разница огромна!

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-02-20 19:34:48

m0ps писал(а):
Grishun_U_S писал(а): Принципиальной разницы нет.
принципиальной - да, а вот с практической стороны - разница огромна!
Что имеется ввиду? Напишите правила фильтрации повторяющие функционал nat pass и разницы не будет совсем.
Вообще философия какая-то пошла.... или демагогия?
Изображение

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение ~>cerber<~ » 2009-02-23 1:33:57

имхо: если я уверен что пакеты мне не нужно загонять в очереди, а также проделывать дополнительную фильтрацию - использую nat pass это снижает нагрузку на ядро
;aka coolchevy
live free or die;

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Grishun_U_S » 2009-03-02 9:13:05

Хммм интересная картина наблюдается,
сделал шейпинг по руководству Benjamin Heckmann openbsd44_altq_v2.9.pdf
и что мы видим? (см. вложение)

график исходящего трафика стал более ровным, с другой стороны наблюдается неполная загрузка канала
Вложения
bandwidth.jpg
График загрузки канала за 24 часа
Изображение