anchor в pf.conf

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
Abyrvalg
мл. сержант
Сообщения: 129
Зарегистрирован: 2009-03-04 10:24:44

anchor в pf.conf

Непрочитанное сообщение Abyrvalg » 2015-03-24 14:23:06

Привет тебе, о великий All!

Пытаюсь в pf.conf прописать внутренний (inline) якорь для NAT-правила. А именно, необходимо при необходимости отключать NAT для конкретной машины.
Но как бы я ни изгалялся, pfctl ругается на синтаксическую ошибку.
Перелистал кучу мануалей, но там почему-то якори подгружают из файлов. А мне не хочется ради одной строчки заводить файл.

Вот как я пытался сделать:

Код: Выделить всё

nat-anchor "block_int" {
   no nat on $ext_if from $workstation to any
}
nat on $ext_if from 192.168.10.0/24 to any -> ($ext_if)
Разумеется, все используемые переменные определены.

Как правильно прописать этот чёртов якорь? :(
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

anchor в pf.conf

Непрочитанное сообщение skeletor » 2015-03-24 16:04:13

Якорь собственно и задумывался, что бы подгружать его отдельно из другого конфига. Иначе, какой смысл держать его в основном, но не загружать?
Вернуться к началу
Abyrvalg
мл. сержант
Сообщения: 129
Зарегистрирован: 2009-03-04 10:24:44

anchor в pf.conf

Непрочитанное сообщение Abyrvalg » 2015-03-26 10:48:29

В некоторых ситуациях требуется с помощью скрипта загружать или выгружать отдельные части конфига. Как я понимаю, якори созданы именно для этого. Находятся ли они в отдельном файле или нет - вопрос второй.
В данном случае меня интересует синтаксис якоря внутри конфига. Неохота заводить отдельный файл ради одной строчки :)
Вернуться к началу
Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

anchor в pf.conf

Непрочитанное сообщение skeletor » 2015-03-26 11:13:01

Перечитал ещё раз доку по PF и таки-да, вы оказались правы.
Нашёл вот такое (http://www.openbsd.org/faq/upgrade47.html):
nat-anchor and/or rdr-anchor lines, e.g. for relayd(8), ftp-proxy(8) and tftp-proxy(8), are no longer used and should be removed from pf.conf(5), leaving only the anchor lines.
Но это касательно OpenBSD. В FreeBSD, я думаю, вообще не было nat-anchor (даже не заимствовали из OpenBSD). Измените nat-anchor на anchor и должно сработать.
Вернуться к началу
Abyrvalg
мл. сержант
Сообщения: 129
Зарегистрирован: 2009-03-04 10:24:44

anchor в pf.conf

Непрочитанное сообщение Abyrvalg » 2015-03-30 0:07:37

Увы, это я попробовал первым делом и схлопотал syntax error :( Хотя когда я использовал anchor для обычных правил, всё было ок.
Вернуться к началу