Hi All !
Подскажите по PF следующее:
1. есть таблица => table <BRUTE> persist
2. есть правило => block drop log quick on $ext_if from <BRUTE> to any
--------------------------------------------------------------
pass in log on $ext_if inet proto tcp from any to $ext_if port ssh flags S/SA synproxy state \
(max-src-conn 3,max-src-conn-rate 1/5, overload <BRUTE> flush global )
Все IP которые попадают в таблицу к нам больше не могут подключиться..., но я могу подключиться к IP которые есть в таблице...,
Вопрос :
Как запретить доступ к IP (попавшим в таблицу) из внутренней сети ?
PF запрет по IP (вх/исх)
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
24rus
- мл. сержант
- Сообщения: 75
- Зарегистрирован: 2008-09-27 16:04:59
- Откуда: Красноярск
- Контактная информация:
PF запрет по IP (вх/исх)
Show must go on !
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
kirgudu
- сержант
- Сообщения: 185
- Зарегистрирован: 2009-01-16 23:14:00
Re: PF запрет по IP (вх/исх)
Соответственно, если у тебя одно из первый pass quick out keep state - это не поможет.table <BRUTE> persist
block drop log quick on $ext_if from <BRUTE>
block drop log quick on $ext_if to <BRUTE>
-
24rus
- мл. сержант
- Сообщения: 75
- Зарегистрирован: 2008-09-27 16:04:59
- Откуда: Красноярск
- Контактная информация:
Re: PF запрет по IP (вх/исх)
# BLOCK ---------------------------------------------------
block all
block return
block quick inet6 all
antispoof quick for { $ext_if, $int_if }
block drop in log quick on $ext_if from $non_route_nets_inet to any
block drop in log quick on $int_if from !$int_if:network to any
block drop in log quick on $int_if inet proto { tcp, udp } from $lan_net to !<MY_SMTP> port 25
block drop log quick on $ext_if from <BRUTE> to any
# PASS --------------------------------------------------------
pass in log on $ext_if inet proto tcp from any to $ext_if port {20, 21} flags S/SA modulate state \
(max-src-conn 5,max-src-conn-rate 4/2, overload <BRUTE> flush global )
pass in log on $ext_if inet proto tcp from any to $ext_if port ssh flags S/SA synproxy state \
(max-src-conn 3,max-src-conn-rate 1/3, overload <BRUTE> flush global )
pass in log on $ext_if inet proto tcp from any to $server port rdp flags S/SA synproxy state \
(max-src-conn 5, max-src-conn-rate 4/2, overload <BRUTE> flush global)
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
# LAN in SERVER in LAN ---------------------------------------
pass out on $int_if from any to $lan_net
pass in on $int_if from $lan_net to any
Собственно вот часть конфига с запретом и разрешением
block all
block return
block quick inet6 all
antispoof quick for { $ext_if, $int_if }
block drop in log quick on $ext_if from $non_route_nets_inet to any
block drop in log quick on $int_if from !$int_if:network to any
block drop in log quick on $int_if inet proto { tcp, udp } from $lan_net to !<MY_SMTP> port 25
block drop log quick on $ext_if from <BRUTE> to any
# PASS --------------------------------------------------------
pass in log on $ext_if inet proto tcp from any to $ext_if port {20, 21} flags S/SA modulate state \
(max-src-conn 5,max-src-conn-rate 4/2, overload <BRUTE> flush global )
pass in log on $ext_if inet proto tcp from any to $ext_if port ssh flags S/SA synproxy state \
(max-src-conn 3,max-src-conn-rate 1/3, overload <BRUTE> flush global )
pass in log on $ext_if inet proto tcp from any to $server port rdp flags S/SA synproxy state \
(max-src-conn 5, max-src-conn-rate 4/2, overload <BRUTE> flush global)
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
# LAN in SERVER in LAN ---------------------------------------
pass out on $int_if from any to $lan_net
pass in on $int_if from $lan_net to any
Собственно вот часть конфига с запретом и разрешением
Show must go on !