Аcсиметричный пишется так: АсимметричныйGrishun_U_S писал(а):Ну.... все готово, прошу любить и жаловать!
Готовится статья "PF : Конфиг для офисов"
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- iZEN
- ст. лейтенант
- Сообщения: 1095
- Зарегистрирован: 2007-09-15 16:45:26
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
СПСiZEN писал(а):Аcсиметричный пишется так: АсимметричныйGrishun_U_S писал(а):Ну.... все готово, прошу любить и жаловать!
поправил.
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Есть
altq on $ext_if cbq bandwidth 970Kb queue \
{ qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }
queue qboss bandwidth 38% priority 2 cbq ( borrow )
а где видно что qboss -это именно комп босса? Где привязка к ip?
altq on $ext_if cbq bandwidth 970Kb queue \
{ qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }
queue qboss bandwidth 38% priority 2 cbq ( borrow )
а где видно что qboss -это именно комп босса? Где привязка к ip?
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
сделайте поиск по конфигу строки "qboss"asdf писал(а):Есть
altq on $ext_if cbq bandwidth 970Kb queue \
{ qboss, qbuh, qadmin, qWinPeak, qssh, qdns, qntp, qack }
queue qboss bandwidth 38% priority 2 cbq ( borrow )
а где видно что qboss -это именно комп босса? Где привязка к ip?
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Статья понравилась.
Недавно сменил место работы и пришлось пересесть на фряху
Опыта мало, сижу вот корплю над мануалами.
Лучшей статьи по реальному конфигу pf на примере реального офиса не встречал.
У меня не получается завернуть трафик на проксик.
В имеющем место быть старом конфиге можно все и всем + пара редиректов для банк-клиента.
Самс поднят и трафик считает по логам сквида.
Но при применении новых правил браузер пишет, что "вы пытаетесь подключиться к прокси, но который сбрасывает соединения"...
Недавно сменил место работы и пришлось пересесть на фряху
Опыта мало, сижу вот корплю над мануалами.
Лучшей статьи по реальному конфигу pf на примере реального офиса не встречал.
У меня не получается завернуть трафик на проксик.
В имеющем место быть старом конфиге можно все и всем + пара редиректов для банк-клиента.
Самс поднят и трафик считает по логам сквида.
Но при применении новых правил браузер пишет, что "вы пытаетесь подключиться к прокси, но который сбрасывает соединения"...
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
Спасибо за отзыв.Alti писал(а):Статья понравилась.
Недавно сменил место работы и пришлось пересесть на фряху
Опыта мало, сижу вот корплю над мануалами.
Лучшей статьи по реальному конфигу pf на примере реального офиса не встречал.
У меня не получается завернуть трафик на проксик.
В имеющем место быть старом конфиге можно все и всем + пара редиректов для банк-клиента.
Самс поднят и трафик считает по логам сквида.
Но при применении новых правил браузер пишет, что "вы пытаетесь подключиться к прокси, но который сбрасывает соединения"...
Если есть возможность, прошу проверить следующее, вместо этого :
Код: Выделить всё
pass in on $int_if proto tcp from { $boss, $buh, $admin } to $proxy_if port $proxy_port
Код: Выделить всё
pass in on $int_if proto tcp from { $boss, $buh, $admin } to any port $proxy_port
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Да, заработало.
Во всяком случае инет через браузер начал ходить, а вот аська отвалилась)
Ну это уже сквидовские траблы, по-мойму.
Спасибо.
Во всяком случае инет через браузер начал ходить, а вот аська отвалилась)
Ну это уже сквидовские траблы, по-мойму.
Спасибо.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
Аська шифрует пакеты, нужно либо пускать ее в обход прокси, либо явно указывать в ICQ клиенте адрес прокси и порт.Alti писал(а):Да, заработало.
Во всяком случае инет через браузер начал ходить, а вот аська отвалилась)
Ну это уже сквидовские траблы, по-мойму.
Спасибо.
Ошибку в статье исправил, спасибо за обратную связь.
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Прошу сразу простить, если вопрос покажетсо глупым)
Просто я учусь и пытаюсь разобраться...
в Правилах.
Насторожила следующая строчка... Поэтому прошу пояснить логику..
Я правильно читаю правило?
"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
Настораживает "to any". Не будет ли это правило блокировать какие либо полезные пакеты?
И в мануале я сталкивался с разрешающим правилом:
В обсуждаемом конфиге я не могу найти правила, замещающие это..
Просто я учусь и пытаюсь разобраться...
в Правилах.
Насторожила следующая строчка... Поэтому прошу пояснить логику..
Код: Выделить всё
# умников, которые лезут на внутренний интерфейс с любых сетей
# отличных от 192.168.0.0/24
block drop in log quick on $int_if from !$int_if:network to any
"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
Настораживает "to any". Не будет ли это правило блокировать какие либо полезные пакеты?
И в мануале я сталкивался с разрешающим правилом:
Код: Выделить всё
pass quick on lo0 all
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Я просто это к тому.. что никак не получается у меня понять, почему https обрубается на корню...
Возвращая ответ через браузер, что yandex.ru:443 не доступен..
Возвращая ответ через браузер, что yandex.ru:443 не доступен..
- m0ps
- лейтенант
- Сообщения: 986
- Зарегистрирован: 2008-05-08 20:18:06
- Откуда: Chernigov (Ukraine)
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
правильно без последнего выражения, т.к. если позже идут правила, они могут полностью заменить текущее собой"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
у меня в конфиге всегда вначале идет block all, потом pass out all, а дальше pass для определенных пакетов
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
А как же параметр quick... или я его неправильно понимаю?
Ведь "block quick" отбрасывает сразу пакет, попадающий под правило, а не прогоняет его через последовательность разрешающих правил, которых может быть много...
то есть block'ов вообще больше нет? Ваш вариант кажется логичным... только у меня появился вопрос. на производительность это не влияет?у меня в конфиге всегда вначале идет block all, потом pass out all, а дальше pass для определенных пакетов
Ведь "block quick" отбрасывает сразу пакет, попадающий под правило, а не прогоняет его через последовательность разрешающих правил, которых может быть много...
- m0ps
- лейтенант
- Сообщения: 986
- Зарегистрирован: 2008-05-08 20:18:06
- Откуда: Chernigov (Ukraine)
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
сори... я не досмотрел... действительно...А как же параметр quick... или я его неправильно понимаю?
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
И еще один вопрос, на который я сам ответить пока затрудняюсь и нуждаюсь в аргументированном ответе...
NAT транслирует пакеты раньше фильтрации и затем пакет с подменными адресом и портом должен пройти правила фильтров.
Причем, как подчеркивают в мануале, как раз и надо обращать внимание на изменения...
Если честно, то с непривычки у меня это вызывает некоторую панику) Тем более я все еще нахожусь под влиянием керио, где приоритет правил другой.
В том же мануале упоминают, что параметр pass позволить натить поверх фильтров.
Вопрос, собсно, в следующем. Чем отличаются эти 2 варианта:
1й - просто правило nat, и затем явно описывать правила для ната в фильтрах
2й - указать правило nat pass и забыть про это?
Чувствую же.. где-то собака зарыта...
NAT транслирует пакеты раньше фильтрации и затем пакет с подменными адресом и портом должен пройти правила фильтров.
Причем, как подчеркивают в мануале, как раз и надо обращать внимание на изменения...
Если честно, то с непривычки у меня это вызывает некоторую панику) Тем более я все еще нахожусь под влиянием керио, где приоритет правил другой.
В том же мануале упоминают, что параметр pass позволить натить поверх фильтров.
Вопрос, собсно, в следующем. Чем отличаются эти 2 варианта:
1й - просто правило nat, и затем явно описывать правила для ната в фильтрах
2й - указать правило nat pass и забыть про это?
Чувствую же.. где-то собака зарыта...
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
Нет не будет. Допустим, у тебя локалка 192.168.0.0/24Alti писал(а):Прошу сразу простить, если вопрос покажетсо глупым)
Просто я учусь и пытаюсь разобраться...
в Правилах.
Насторожила следующая строчка... Поэтому прошу пояснить логику..Я правильно читаю правило?Код: Выделить всё
# умников, которые лезут на внутренний интерфейс с любых сетей # отличных от 192.168.0.0/24 block drop in log quick on $int_if from !$int_if:network to any
"Блокируется входящий пакет на внутреннем интерфейсе, пришедший с любого адреса, отличного от локалки, на любой адрес.
Дальнейшие правила к пакету не применяются."
Настораживает "to any". Не будет ли это правило блокировать какие либо полезные пакеты?
если по int_if пройдут пакеты с адресом src, например от 10.0.0.1, 172.16.0.1 то они попадут под это правило и будут заблокированы. И так будет с любыми адресами НЕ из диапазона 192.168.0.0/24. Вот как следует это читать.
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Согласен полностью , вопрос в другом.Нет не будет. Допустим, у тебя локалка 192.168.0.0/24
если по int_if пройдут пакеты с адресом src, например от 10.0.0.1, 172.16.0.1 то они попадут под это правило и будут заблокированы. И так будет с любыми адресами НЕ из диапазона 192.168.0.0/24. Вот как следует это читать.
Ты пишешь в коментариях, что режешь всех кто ломится на внутренний интерфейс прокси не из локалки.
Так может правило надо окончить не " to any", а на "to $int_if"
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
Буду очень рад, если покажите где копать следующий трабл.
С сайтом yandex.ru связь очень не устойчивая. Иногда чтобы прошло какое либо действие "сохранить, отправить, просмотреть вложениеи т.д." приходится делать по несколько раз, так как браузер просто зависает. Причем, что эксплорер 7, что мазила 3.
С любой машины в сетке, практически.
Причем иногда все работает хорошо, а потом снова зависон...
С сайтом yandex.ru связь очень не устойчивая. Иногда чтобы прошло какое либо действие "сохранить, отправить, просмотреть вложениеи т.д." приходится делать по несколько раз, так как браузер просто зависает. Причем, что эксплорер 7, что мазила 3.
С любой машины в сетке, практически.
Причем иногда все работает хорошо, а потом снова зависон...
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
Так нам пофигу куда он ломится : непосредственно ли на сервис который слушает порт на интерфейсе $int_if (твое предложение)Alti писал(а): Согласен полностью , вопрос в другом.
Ты пишешь в коментариях, что режешь всех кто ломится на внутренний интерфейс прокси не из локалки.
Так может правило надо окончить не " to any", а на "to $int_if"
или куда-то еще используя нас как gateway (to any).
Запусти tcpdump на $int_if и набери в браузере любой адрес, потом другой адрес увидишь что dst будет меняться от ресурса к ресурсу, поэтому используется any.
А ты наверно имеешь ввиду трафик, который перенаправляется на порт сквида. Кроме этого трафика есть весь остальной.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
покажи где ты это вычиталAlti писал(а):И еще один вопрос, на который я сам ответить пока затрудняюсь и нуждаюсь в аргументированном ответе...
2й - указать правило nat pass и забыть про это?
-
- проходил мимо
Re: Готовится статья "PF : Конфиг для офисов"
http://www.opennet.ru/base/net/pf_faq.txt.htmlпокажи где ты это вычитал
NAT и фильтрация пакетов:
ОБРАТИТЕ ВНИМАНИЕ: Оттранслированные пакеты должны все еще должны
проходить через механизм фильтрации и будут блокированы или переданы
на основании правил фильтрации. Единственное исключение будет сделано
при наличии ключевого слова pass при использовании в пределах правила
NAT. Это заставит NATed пакеты передавать через механизм фильтрации.
Также знайте, что трансляция происходит перед фильтрацией и механизм
фильтрации будет видеть оттранслированный пакет с оттранслированным
адресом IP и портом.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
а.... есть такое. Ответ на твой вопрос :Alti писал(а): http://www.opennet.ru/base/net/pf_faq.txt.html
NAT и фильтрация пакетов:
ОБРАТИТЕ ВНИМАНИЕ: Оттранслированные пакеты должны все еще должны
проходить через механизм фильтрации и будут блокированы или переданы
на основании правил фильтрации. Единственное исключение будет сделано
при наличии ключевого слова pass при использовании в пределах правила
NAT. Это заставит NATed пакеты передавать через механизм фильтрации.
Также знайте, что трансляция происходит перед фильтрацией и механизм
фильтрации будет видеть оттранслированный пакет с оттранслированным
адресом IP и портом.
Принципиальной разницы нет.Вопрос, собсно, в следующем. Чем отличаются эти 2 варианта:
1й - просто правило nat, и затем явно описывать правила для ната в фильтрах
2й - указать правило nat pass и забыть про это?
- m0ps
- лейтенант
- Сообщения: 986
- Зарегистрирован: 2008-05-08 20:18:06
- Откуда: Chernigov (Ukraine)
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
принципиальной - да, а вот с практической стороны - разница огромна!Grishun_U_S писал(а): Принципиальной разницы нет.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
Что имеется ввиду? Напишите правила фильтрации повторяющие функционал nat pass и разницы не будет совсем.m0ps писал(а):принципиальной - да, а вот с практической стороны - разница огромна!Grishun_U_S писал(а): Принципиальной разницы нет.
Вообще философия какая-то пошла.... или демагогия?
- ~>cerber<~
- мл. сержант
- Сообщения: 112
- Зарегистрирован: 2007-06-23 0:58:32
- Откуда: [UKRAINE]
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
имхо: если я уверен что пакеты мне не нужно загонять в очереди, а также проделывать дополнительную фильтрацию - использую nat pass это снижает нагрузку на ядро
;aka coolchevy
live free or die;
live free or die;
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: Готовится статья "PF : Конфиг для офисов"
Хммм интересная картина наблюдается,
сделал шейпинг по руководству Benjamin Heckmann openbsd44_altq_v2.9.pdf
и что мы видим? (см. вложение)
график исходящего трафика стал более ровным, с другой стороны наблюдается неполная загрузка канала
сделал шейпинг по руководству Benjamin Heckmann openbsd44_altq_v2.9.pdf
и что мы видим? (см. вложение)
график исходящего трафика стал более ровным, с другой стороны наблюдается неполная загрузка канала