Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Guest113
- проходил мимо
Непрочитанное сообщение
Guest113 » 2008-11-06 6:40:02
Решил остановиться на изучении PF брэндмауэра. И тут же на начальном этапе встала такая проблема. Вот кусок рабочего кода без таблиц:
Код: Выделить всё
int_if="nve0" # Внутренний интерфейс
lan="192.168.7.0/24" # Тут понятно
blacklist="{192.168.7.3}" # Это черный список IP, которым ничего не разрешено
set skip on lo0
block all
antispoof quick for $int_if inet
block in quick on $int_if from $blacklist to any # Запрещаю адресам из списка доступ через этот интерфейс - Работает
pass on $int_if from any to any # Разрешим весь трафик в локальной сети через интерфейс nve0
Далее Я создаю таблицу и получается следующий код:
Код: Выделить всё
int_if="nve0" # Внутренний интерфейс
table <lan> {192.168.7.0/24, !192.168.7.3}
set skip on lo0
block all
antispoof quick for $int_if inet
pass on $int_if from <lan> to any keep state # Разрешим весь трафик в локальной сети через интерфейс nve0 изданного диапазона IP адресов
То пинг не идет ни с одного IP кроме 192.168.7.3... хотя я его исключил из диапазона адресов?! Как правильно организовать черный список IP адресов в сети используя таблицы...хочу с ними просто рахобраться до конца перед тем как дальше изучать фаер.
Guest113
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Guest113
- проходил мимо
Непрочитанное сообщение
Guest113 » 2008-11-06 17:11:12
Непонятное что-тос таблицами творится. Воспользовался статьей
http://www.opennet.ru/tips/info/1715.shtml - Использование таблиц для блокирования большого числа IP в pf или ipfw
Написал все как в ней, создал файл /etc/block1.txt в котором в каждой строке по IP. И ничего -( Пропускает с блокированных адресовтрафик... Если добавлять ручками pfctl -t blockedips -T add <IP> то всеработает прекрасно,но до перезагрузки. -( Эти адреса не сохраняются в файле
Guest113
-
romzes
- мл. сержант
- Сообщения: 85
- Зарегистрирован: 2007-09-05 22:17:34
- Откуда: Київ
-
Контактная информация:
Непрочитанное сообщение
romzes » 2008-11-08 2:49:18
ерунда какая-то. возможно пингуете инет без ната, или чета с интерфейсами или роутами напутали... либо правила не подгрузили с pfctl -f /etc/pf.conf
1) netstat -rn
2) ifconfig
3) pfctl -s all
TMTOWTDI
romzes
