Проблема с PF фаерволом на freebsd помогите пожайлуста

[ceroz]

собственно пытаюсь поставить такой фаервол для раздачи интернета
вот конфиг pf.conf

Код: Выделить всё

ext_if="re0" #Внешний интерфейс (смотрит к провайдеру WAN) 
 int_if="rl0" #Внутренний интерфейс (смотрит в нашу сеть LAN) 

 set skip on lo0 #пропускаем проверку на петле 
 scrub in all #собираем все части пакета перед отправкой 
 nat on $ext_if from $int_if:network to any -> ($ext_if) 

 block all #запретим все отовсюду 
 pass in on $int_if from any to any #разрешаем всё из локальной сети 
 pass out on $ext_if from $ext_if to any #разрешаем серверу доступ в интернет 
 pass in on $ext_if proto tcp from any to $ext_if port ssh #разрешаем ssh 
 pass in inet proto icmp all icmp-type echoreq #разрешаем ping 

призапуске пишет вот это

Код: Выделить всё

localhost# pfctl -f /etc/pf.conf 
 No ALTQ support in kernel 
 ALTQ related functions disabled 
 /etc/pf.conf:3: syntax error 
 /etc/pf.conf:6: syntax error 
 /etc/pf.conf:12: syntax error 
 pfctl: Syntax error in config file: pf rules not loaded 

перепробовал несколько конфигов тоже самое...помогите пожайлуста справится с этой проблемой..
Заранее благодарен
P.S Делал по этой статье http://www.ignix.ru/public/daemon/easy-nat-pf

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

Код: Выделить всё

ext_if="re0"
int_if="re1"

int_net="{2.2.2.2/8}"
host2="8.8.8.8"

tcp_out="нужные тебе порты"

table <bruteforce> persist file "/var/log/bruteforce"


set block-policy drop
set skip on lo
set timeout { frag 10, tcp.established 3600 }
scrub in all no-df fragment reassemble
scrub out all random-id max-mss 1400


nat on $ext_if from $int_net to !(self) -> ($ext_if)

block all

antispoof log quick for {lo0, $int_if, $ext_if}

block drop quick from <bruteforce>

pass quick on $int_if inet proto tcp from $int_net to any port {$tcp_out} modulate state

pass in on $int_if  proto udp from $int_net  to any   port domain   queue qdns keep state

pass in on $int_if proto tcp from $host2 to $int_if  port ssh  queue ( qssh, qack ) synproxy state (max-src-conn-rate 5/360, overload <bruteforce> flush global)

pass out on $ext_if   modulate state

100% рабочий вариант

[koklushkin]

будут вопросы задавай, хз чего гостем отправило

[ceroz]

будут вопросы задавай, хз чего гостем отправило

Сэтим вроди разобрался...но есть еще вопрос...

включаю фаервол пишет вот такое

Код: Выделить всё

my# pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

Далее подключаю интернет к шлюзу и пробую раздавать интернет...но нечего не получатся семерка пишет "Без доступа в интернет"
Посмотрите пожайлуста мои конфиги и скажите что ни так???

rc.conf

Код: Выделить всё

ifconfig_re0="DHCP"
ifconfig_rl0="inet 192.168.100.1  netmask 255.255.255.0"
defaultrouter="172.24.254.254"
hostname="my.host"
sshd_enable="YES"
ftpd_enable="YES"
inetd_enable="YES"

gateway_enable="YES"		#Разрешает серверу быть шлюзом 
pf_enable="YES"			    #Запуск pf 
pflog_enable="YES"		    #не обязательно, возможность писать логи pf
pf_rules=" /etc/pf.conf"		#Пуьт к правилам pf
pf_program=" /sbin/pfctl"	#Путь к программе управления pf
pf_flags=""			        #Необходимо для pfctl

pf.conf

Код: Выделить всё

ext_if="re0"		 	#Внешний интерфейс (смотрит к провайдеру WAN)
int_if="rl0" 			#Внутренний интерфейс (смотрит в нашу сеть LAN)
 
table <pf-allow-pc> file "/etc/pf-allow-pc"
set skip on lo0 #пропускаем проверку на петле
scrub in all #собираем все части пакета перед отправкой
nat on $ext_if from <pf-allow-pc> to any -> ($ext_if)
 

block all #запретим все отовсюду
pass in on $int_if from any to any #разрешаем всё из локальной сети 
pass out on $ext_if from $ext_if to any #разрешаем серверу доступ в интернет 
pass in on $ext_if proto tcp from any to $ext_if port ssh #разрешаем ssh
pass in inet proto icmp all icmp-type echoreq #разрешаем ping 

pf-allow-pc

Код: Выделить всё

192.168.100.1
192.168.100.2
192.168.100.3

тоесть шлюз интернет видит нормально а вот второй комп на семерке вообще его не видит но прекрасно пингует сетевые карты шлюза...

В семерке прописываю

Код: Выделить всё

Ip:192.168.100.2
mask:255.255.255.0
Основной шлюз: 192.168.100.1
DNS:192.168.100.1

Помогите пожайлуста уже второй день мучаюсь не могу эту бороду настороить...мозги кипят...че только не перепробовал...заранее очень благодарен

[mak_v_]

а у вас днс поднят на 192.168.100.1? подозреваю что нет.
В любом случае с винды сделайте tracert -d 8.8.8.8 и вывод сюда

[ceroz]

а у вас днс поднят на 192.168.100.1? подозреваю что нет.
В любом случае с винды сделайте tracert -d 8.8.8.8 и вывод сюда

Приду с работы попробую...обязательно отпишусь че и как...

[ceroz]

а у вас днс поднят на 192.168.100.1? подозреваю что нет.
В любом случае с винды сделайте tracert -d 8.8.8.8 и вывод сюда

Код: Выделить всё

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Windows\System32>tracert -d 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.100.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *       32 ms    31 ms  209.85.254.114
 13     *        *        *     Превышен интервал ожидания для запроса.
 14    31 ms    31 ms    31 ms  8.8.8.8

Трассировка завершена.

[mak_v_]

Интересно...нат вроде настроен,...
А с самой фри traceroute 8.8.8.8

[ceroz]

Интересно...нат вроде настроен,...
А с самой фри traceroute 8.8.8.8

Код: Выделить всё

my# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 40 byte packets
 1  10.192.109.254 (10.192.109.254)  0.400 ms  0.309 ms  0.303 ms
 2  10.16.16.88 (10.16.16.88)  0.304 ms  0.533 ms  0.655 ms
 3  10.16.16.90 (10.16.16.90)  0.591 ms  1.176 ms  0.913 ms
 4  109.95.47.221 (109.95.47.221)  1.867 ms  1.593 ms  4.514 ms
 5  62.182.120.169 (62.182.120.169)  1.523 ms  0.965 ms  1.505 ms
 6  91.245.221.13 (91.245.221.13)  0.949 ms  1.030 ms  0.945 ms
 7  91.245.221.11 (91.245.221.11)  1.286 ms  1.117 ms  1.598 ms
 8  77.88.206.2 (77.88.206.2)  2.018 ms  3.094 ms  3.032 ms
 9  88.81.240.182 (88.81.240.182)  1.586 ms  1.587 ms *
10  209.85.242.220 (209.85.242.220)  31.278 ms  31.497 ms  31.311 ms
11  72.14.239.60 (72.14.239.60)  30.825 ms  31.375 ms  45.623 ms
12  209.85.254.118 (209.85.254.118)  31.713 ms  31.427 ms
    209.85.254.112 (209.85.254.112)  31.383 ms
13  * * *
14  8.8.8.8 (8.8.8.8)  31.867 ms  31.815 ms  32.456 ms
my#

[mak_v_]

Код: Выделить всё

pfctl -sn

[ceroz]

Код: Выделить всё

pfctl -sn

Код: Выделить всё

my# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
my#

[koklushkin]

sysctl -w net.ipv4.ip_forward=1

[mak_v_]

sysctl -w net.ipv4.ip_forward=1

Это не надо.
У Вас правила ната не применяются.

Код: Выделить всё

pfctl -f /etc/pf.conf

[mak_v_]

Вы зачем ответы свои же редактируете? Этим вы вводите в заблуждение.
С винды у Вас трассировка есть. Пропишите на ней днс-ом 8.8.8.8 и будет вам счастье

[ceroz]

Вы зачем ответы свои же редактируете? Этим вы вводите в заблуждение.
С винды у Вас трассировка есть. Пропишите на ней днс-ом 8.8.8.8 и будет вам счастье

Ставлю 8.8.8.8 подключаюсь пишет "Доступ в интернет" (вроди как работает) но через пару секунд меняет статус на "Без доступа к сети"