pf.conf

[Witt]

Сам шлюз не резолвит имена, клиенты локальные натовские - нормально. Что не пускает? Не могу понять...

Код: Выделить всё

# cat /etc/pf.conf
ext_if="em0"
int_if="em1"
lan="10.0.1.0/24"
provider="77.232.0.0/16"
good_tcp = "{ ssh, smtp, domain, pop3, auth, pop3s }"
good_udp = "{ domain }"
table <fullnats> file "/etc/fullnats.conf"

set skip on lo0
scrub in all

nat on $ext_if from $lan to any -> ($ext_if)

block in all

pass in quick on $int_if from <fullnats> to any # nat в полном объёме разрешен лишь избранным
pass in proto tcp from any to any port $good_tcp
pass in proto udp from any to any port $good_udp

pass in on $int_if proto tcp from any to $int_if port 8080 # клиенты сквид

pass in on $ext_if proto tcp from $provider to ($ext_if) port ssh
pass in on $int_if proto tcp from any to $int_if port ssh

pass inet proto icmp all icmp-type echoreq

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[werder31]

Ну где 53 порт????

[hedgehog]

Ну где 53 порт????

domain?

[werder31]

я просто с пф неработал, но Вы уверены что он воспринимает

Код: Выделить всё

good_tcp = "{ ssh, smtp, domain, pop3, auth, pop3s }"

адекватно?
задайте явно 53 порт

[Witt]

я просто с пф неработал

Хотелось бы получить ответ тех, кто работает с pf

Вы уверены что он воспринимает

Уверен.

Код: Выделить всё

cat /etc/services

Ещё раз повторюсь, клиенты локалки нормально резолвят DNS. pf блокирует dns на шлюзе.

[mak_v_]

cat /etc/resolv.conf

[Witt]

Там DNSник провайдера, полученный em0 по dhcp

[mak_v_]

Код: Выделить всё

pass out on $ext_if proto tcp from me to any port domain
pass out on $ext_if proto udp from me to any port domain

а вообще ........

Код: Выделить всё

pass out on $ext_if from me to any 

[Witt]

Ничего не поменялось, плюс ещё виснет после загрузки правил после вставки:

Код: Выделить всё

pass out on $ext_if from me to any

[mak_v_]

Не несите бред.
В вашем, Конкретном случае 100%-но поможет после правил ната вставить строку

Код: Выделить всё

pass quick all

[Witt]

Бред несёте Вы, лейтенант. PF ругается именно на добавление в конфиг вашей строчки:

Код: Выделить всё

pass out on $ext_if from me to any

no IP address found for me
/etc/pf.conf:15: could not parse host specification
pfctl: Syntax error in config file: pf rules not loaded

[mak_v_]

Код: Выделить всё

    pass out on $ext_if from self to any

Головешку надо-бы включить...

[Witt]

Спасибо. Пошли пинги. Головешку можно было бы включить, если бы был мало-мальский опыт, а поскольку его нет, то тяжеловато начало.
Почему-то решил, что если запрещающее правило стоит

Код: Выделить всё

block in all

, то запрещены все входящие соединения, а исходящие по дефолту разрешены, а оно вот как..

[Witt]

Поскольку я полностью доверяю моему шлюзу, может быть расширить:

Код: Выделить всё

pass out from self to any

?

[Witt]

Код: Выделить всё

pass out on ($ext_if) from self to any

почему ошибка в этой строке?