Код: Выделить всё
forum# pfctl -f /etc/pf.conf
/etc/pf.conf:2: syntax error
pfctl: Syntax error in config file: pf rules not loaded
forum#
Модератор: terminus
Код: Выделить всё
forum# pfctl -f /etc/pf.conf
/etc/pf.conf:2: syntax error
pfctl: Syntax error in config file: pf rules not loaded
forum#
Код: Выделить всё
[skeletor@srv-test ~]$ uname -a
FreeBSD srv-test 7.1-RELEASE-p2 FreeBSD 7.1-RELEASE-p2 #1: Fri Feb 13 20:56:08 UTC 2009 root@srv-test:/usr/obj/usr/src/sys/kern1 i386
[skeletor@srv-test ~]$ grep pf /usr/src/sys/i386/conf/kern1
#device ispfw # Firmware for QLogic HBAs- normally a module
# The `bpf' device enables the Berkeley Packet Filter.
# Note that 'bpf' is required for DHCP.
device bpf # Berkeley packet filter
device pf
device pflog
device pfsync
[skeletor@srv-test ~]$ cat /etc/pf.conf
services="{20,21,43,80,21,179,2600,2601,2604,2605}"
icmp_types="{echoreq}"
set skip on lo
scrub in
block log all
pass keep state
# block flud traffic
pass quick on lo0 from any to any
block quick from any to 127.0.0.0/8
block quick from 127.0.0.0/8 to any
# ssh
pass proto tcp from any to any port 22 keep state
pass proto tcp from any port 22 to any keep state
#dns
pass proto udp from any to any port 53
pass proto udp from any port 53 to any
#
pass proto tcp from any to any port $services keep state
pass proto tcp from any port $services to any keep state
#icmp
pass in proto icmp from any to any
pass out proto icmp from any to any
#tracerroute
pass out inet proto udp from any to any port 33433 >< 33626 keep state
#ftp passive
pass in proto tcp from any to any port > 49151 keep state
А не знаю я, как по дрогому можно24rus писал(а):А зачем тебе "PASS" если ты используешь фаер как NAT ??
Код: Выделить всё
pass all keep state
Код: Выделить всё
pass in all
pass out all
Код: Выделить всё
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
Вы новую букву алфавита изобрели ? )) Я имел ввиду KERNСONF вообще-то. Внимательнее посмотрите на ссылку на пост форума в моем предыдущем сообщении, оттуда поймете откуда там GENERIC появился у него в uname -a том-жеhizel писал(а):KERNCONF пишется через KERNCONF
Код: Выделить всё
forum# uname -a
FreeBSD forum.rdtc.ru 7.1-RELEASE FreeBSD 7.1-RELEASE #2: Mon Mar 2 23:00:18 KRAT 2009 sysbes@forum.rdtc.ru:/usr/obj/usr/src/sys/GENERIC i386
Код: Выделить всё
cd /usr/src
make make installkernel KERNKONF=SYSKERNEL
reLax писал(а):sysbes У тебя сколько интерфейсов то, скажи хоть?
Код: Выделить всё
forum# ifconfig
xl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9<RXCSUM,VLAN_MTU>
ether 00:01:02:0c:10:de
media: Ethernet autoselect (none)
status: no carrier
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:90:27:a4:c3:57
inet 192.168.79.2 netmask 0xffffff00 broadcast 192.168.79.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
pflog0: flags=0<> metric 0 mtu 33204
Поподробнее пожалуйста. Вообщем насколько я понял у вас есть компьютер со встроенной сетевой картой и дополнительной от 3Com, которая в дауне сейчас. Вы из этого компьютера хотите сделать роутер ? В принципе я могу вам дать рабочий конфиг pf с какого-нибудь своего шлюза, Вам только надо его будет немного подрихтовать. Единственное что в таком случае учитывайте, что там весь NAT-трафик теггирован. Вообщем. если интересно пишите - дам )))sysbes писал(а):Всем спасибо ) PF работает, только толку мало (
Он не шлюх, а просто комп в сети, шлюз у нас другой, на нем 3com и Realteck карточки, нет встроеной.reLax писал(а):Поподробнее пожалуйста. Вообщем насколько я понял у вас есть компьютер со встроенной сетевой картой и дополнительной от 3Com, которая в дауне сейчас. Вы из этого компьютера хотите сделать роутер ? В принципе я могу вам дать рабочий конфиг pf с какого-нибудь своего шлюза, Вам только надо его будет немного подрихтовать. Единственное что в таком случае учитывайте, что там весь NAT-трафик теггирован. Вообщем. если интересно пишите - дам )))sysbes писал(а):Всем спасибо ) PF работает, только толку мало (
Внимательней надо быть не KERNKONF, а KERNСONFsysbes писал(а):Только что:
Код: Выделить всё
cd /usr/src make make installkernel KERNKONF=SYSKERNEL