PF - вопросы по синтаксису написания макросов, правил ...

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

PF - вопросы по синтаксису написания макросов, правил ...

Непрочитанное сообщение freeman » 2007-07-03 13:10:51

Прочитал тут вот что можно

Код: Выделить всё

Синтаксис: <имя_макроса>="<значение>" # определение макроса 
           $<имя_макроса>             # вызов макроса

Замечание:
           <значением> могут быть также списки и другие макросы, возможна рекурсия: 
           <имя_макроса_списка>="{" <имя_макроса1><имя_макроса2> "}"
[/size]

Так вот вопрос - что то у меня на реальном примере не получается "вложить" несколько макросов в один :?
Как реально писать то правильно надо ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Непрочитанное сообщение freeman » 2007-07-03 13:19:43

И вопрос 2 по поводу NAT. Часто предпочитаю не делать nat полдсети и потом фильтрацию, а писать всразу

Код: Выделить всё

nat pass on rl0 inet from $userX to $serverX port = ekshell -> (rl0) round-robin
Чтобы минуя правила фильтрации конкретному пользователю на конкретный сервак, порт разрешить доступ и всё.
Если бы сначала заNATить , то в фильтре уже только всему внешнему интерфейсу как я понял придётся разрешать выход, а на конктретный IP внутренний уже не получится.

Так вот всё хорошо, кроме ... ICMP.
Синтаксиси нашёл во такой.

Код: Выделить всё

nat [pass [log]] on interface [af] from src_addr [port src_port] to \
    dst_addr [port dst_port] -> ext_addr [pool_type] [static-port]
Любой TCP/UDP и т.д. по номеру порта пропустить нечего делать, а как в правиле NAT прописать разрешение ICMP с таких то IP туда то ??

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: PF - вопросы по синтаксису написания макросов, правил

Непрочитанное сообщение freeman » 2007-07-03 15:02:35

freeman писал(а):Прочитал тут вот что можно

Код: Выделить всё

Синтаксис: <имя_макроса>="<значение>" # определение макроса 
           $<имя_макроса>             # вызов макроса

Замечание:
           <значением> могут быть также списки и другие макросы, возможна рекурсия: 
           <имя_макроса_списка>="{" <имя_макроса1><имя_макроса2> "}"
[/size]

Так вот вопрос - что то у меня на реальном примере не получается "вложить" несколько макросов в один :?
Как реально писать то правильно надо ?
Повозился счас ещё с этим. Что получилось -

Код: Выделить всё

friends = "{ 192.168.1.1, 10.0.2.5, 192.168.43.53 }" 
Macros can be defined recursively. Since macros are not expanded within quotes the following syntax must be used: 
host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 "}"
Так вот

Код: Выделить всё

host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 "}"
действительно работает, а вот

Код: Выделить всё

friends = "{ 192.168.1.1, 10.0.2.5, 192.168.43.53 }" 
following syntax must be used: 
host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 $friends "}"
нет!
Получается макрос в макрос можно вкладывать только если дочерние макросы НЕ состоят из списков ?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Непрочитанное сообщение freeman » 2007-07-03 16:03:38

Следующий вопрос - как указать диапазон вместо макроса
friends = "{ 192.168.1.1, 192.168.1.2, 192.168.1.3, 192.168.1.4, 192.168.1.55, 192.168.1.60, 192.168.1.61, 192.168.1.62, 192.168.1.63, 192.168.1.64, 192.168.1.65}"
по типу "старого виндового"
192.168.1.1-192.168.1.4, 192.168.1.55, 192.168.1.60-192.168.1.65 ?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Непрочитанное сообщение freeman » 2007-07-03 16:05:07

и последний на сегодня -
если пускать пакеты напрямую через nat (pass) , не юзая фильтры, то загнать в очередь altq нереально как я понимаю ?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Непрочитанное сообщение freeman » 2007-07-04 9:52:53

Раз по PF тут тишина позволю себе вопрос другого характера - где можно найти место/форум чтоб по русски позадавать вопросы по нему, пообсуждать ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-07-04 10:00:46

чем тебя ipfw не устраивает
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Непрочитанное сообщение Dog » 2007-07-04 10:12:17

Полезная штука.
Кстати, ее автор - активный участник bsdportal.ru, там ему можно умные вопросы позадавать, в том числе по поводу его учебного пособия.
Oh my God, they killed init! Bastards!

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-07-04 10:57:54

Надо бы его сюда перетащить, кстати.

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-07-04 11:40:03

lissyara писал(а):чем тебя ipfw не устраивает
Лис, а ты попробуй с ним поработать. Хотя бы чуть-чуть. Обратно вернуться к ipfw всегда
можно.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-07-04 11:55:20

извини - некогда.
и негде...
Убей их всех! Бог потом рассортирует...

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Непрочитанное сообщение Andy » 2007-07-04 12:10:23

lissyara писал(а):извини - некогда.
Это понять можно.
lissyara писал(а):и негде...
А серверы? А дома?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Непрочитанное сообщение freeman » 2007-07-04 12:18:12

Dog писал(а):Полезная штука.
Ага, по ней и разбирался :) Но там увы именно моих конкретных вопросов/случаев не рассмотено ни на примерах, ни в теории увы.
Кстати, ее автор - активный участник bsdportal.ru, там ему можно умные вопросы позадавать, в том числе по поводу его учебного пособия.
Andy писал(а):Надо бы его сюда перетащить, кстати.
Да да! Очень бы хотелось б.

А почму PF ? Да потому же почему многие на него переходят и во FreeBSD портировали .. хорошая штучка вроде :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-07-04 12:23:54

нах.
я к ipfw привык - да и его до конца не знаю, а вы уже ещё что-то предлагаете...
Убей их всех! Бог потом рассортирует...