forum.lissyara.su

Код: Выделить всё

nat on $ext_if_eht inet from !(self) -> ($ext_if_eth:0)
nat on $ext_if_vlan inet from !(self) -> ($ext_if_vlan:0)

Код: Выделить всё

nat on $ext_if_eht inet from $local_net_1 -> ($ext_if_eth:0)
nat on $ext_if_vlan inet from $local_net_2 -> ($ext_if_vlan:0)

Код: Выделить всё

pass out route-to ( $ext_if_eth $gw_eth ) inet from $ext_if_eth:0 keep state
pass out route-to ( $ext_if_vlan $gw_vlan ) inet from $ext_if_vlan:0 keep state
pass out inet from { $ext_if_eth $ext_if_vlan } to (self:network) keep state

Код: Выделить всё

pass in on $ext_if_eth reply-to ($ext_if_eth $gw_eth) inet proto icmp to ($ext_if_eth)
pass in on $ext_if_eth proto icmp from ($ext_if_eth:network) to ($ext_if_eth)
pass in on $ext_if_vlan reply-to ($ext_if_vlan $gw_vlan) inet proto icmp to ($ext_if_vlan)
pass in on $ext_if_vlan proto icmp from ($ext_if_vlan:network) to ($ext_if_vlan)

Код: Выделить всё

# pf.conf Master сервер

ext_if="rl1"
lan_if="fxp0"
man_if="rl2"
lanc_if="carp0"
ext_gwp="193.156.134.10"
ext_gwu="10.120.200.4"

lan_ip="10.120.0.0/24"
inet_ip="10.120.0.5"

# Отбрасываем пакеты тихо
set block-policy drop

# Отключаем фильтрацию трафика на lo0
set skip on lo0

# Нормализация трафика
scrub in all

# Направляем в нат все что приходит с $lanc_if
nat on $ext_if from $inet_ip to any -> ($ext_if)


# Политика по умолчанию
block all

# Антиаспуффинг
antispoof quick for $ext_if inet

# Разрешаем трафик из локальной сети к серверу, 
# больше он никуда не должен идти если подключение идет через $lan_if
pass in on $lan_if from $lan_ip to 10.120.0.1
pass out on $lan_if from 10.120.0.1 to $lan_ip

# Разрешаем весь трафик через carp
#pass in on $lanc_if all
#pass out on $lanc_if all
pass on $lanc_if all

# Разрешаем рассылку CARP-сообщений
pass out on $lan_if proto carp keep state

# Разрешаем ssh соединение с серваком. Использовать syn proxy для защиты от syn флуда
#pass in log on $ext_if proto tcp from any to ($ext_if) port ssh flags S/SA synproxy state


# балансировка исходящего tcp трафика идущего из внутренней сети
pass in on $lanc_if route-to { ($ext_if $ext_gwp), ($man_if $ext_gwu) } round-robin proto tcp from $inet_ip to any flags S/SA modulate state

# балансировка исходящего icmp и udp трафика идущего из внутренней сети
pass in on $lanc_if route-to { ($ext_if $ext_gwp), ($man_if $ext_gwu) } round-robin proto { udp, icmp } from $inet_ip to any keep state

# Выпускаем трафик
pass out on $ext_if proto tcp from $inet_ip to any flags S/SA modulate state
pass out on $ext_if proto { udp, icmp } from $inet_ip to any keep state
pass out on $man_if proto tcp from $inet_ip to any flags S/SA modulate state
pass out on $man_if proto { udp, icmp } from $inet_ip to any keep state

# Маршрутизируем пакеты
pass out on $ext_if route-to ($man_if $ext_gwu) from $man_if to any
pass out on $man_if route-to ($ext_if $ext_gwp) from $ext_if to any