правила pf для pfsense 1.2.3

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-28 17:15:54

Здравствуйте!!! Помогите пожалуйста разобраться. Пытался настроить фаервол на САБЖе, но напоролся на одну неприятность, не фильтруются исходящие пакеты. Причм заметил это по тому, что продолжал работать торрент-клиент, при всех "закрытых-типа" портах кроме основных 22, 80, 110, 25, 21. Что можно сделать в такой ситуации, кроме как забить? :D
Последний раз редактировалось f_andrey 2011-05-28 23:01:08, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения. приводите полную диагностику, больше логов больше вероятности ответа, а не флуда

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение vadim64 » 2011-05-28 22:09:47

какие правила у вас?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение vadim64 » 2011-05-28 22:14:50

модеры, темка лежит не там где положено))))
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 0:19:09

На WAN умолчальные, на лан :
Изображение

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение vadim64 » 2011-05-29 6:58:26

зачем вы это выложили? дайте нормальный листинг

Код: Выделить всё

pfctl -sr
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 10:51:43

vadim64 писал(а):зачем вы это выложили? дайте нормальный листинг

Код: Выделить всё

pfctl -sr
э..да я хотел, чет решил сначала по легкому пути... :oops: Вобсчем, вот листинг, пасиб за отзывчивость ;-)

Код: Выделить всё

scrub all no-df random-id fragment reassemble
anchor "ftpsesame/*" all
anchor "firewallrules" all
block drop quick proto tcp from any port = 0 to any
block drop quick proto tcp from any to any port = 0
block drop quick proto udp from any port = 0 to any
block drop quick proto udp from any to any port = 0
block drop quick from <snort2c> to any label "Block snort2c hosts"
block drop quick from any to <snort2c> label "Block snort2c hosts"
block drop in quick inet6 all
block drop out quick inet6 all
anchor "loopback" all
pass in quick on lo0 all flags S/SA keep state label "pass loopback"
pass out quick on lo0 all flags S/SA keep state label "pass loopback"
anchor "packageearly" all
anchor "carp" all
pass quick inet proto icmp from 10.65.86.246 to any keep state
anchor "dhcpserverlan" all
pass in quick on vr0 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server on LAN"
pass in quick on vr0 inet proto udp from any port = bootpc to 192.168.2.1 port = bootps keep state label "allow access to DHCP server on LAN"
pass out quick on vr0 inet proto udp from 192.168.2.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server on LAN"
anchor "wandhcp" all
pass out quick on rl0 proto udp from any port = bootpc to any port = bootps keep state label "allow dhcp client out wan"
block drop in log quick on rl0 inet proto udp from any port = bootps to 192.168.2.0/24 port = bootpc label "block dhcp client out wan"
block drop in on ! fxp0 inet from 192.168.15.0/24 to any
block drop in inet from 192.168.15.15 to any
block drop in on ath0 inet6 from fe80::240:96ff:feb0:d86a to any
block drop in on fxp0 inet6 from fe80::202:b3ff:feb2:4b24 to any
anchor "spoofing" all
anchor "spoofing" all
block drop in on ! rl0 inet from 10.65.86.240/29 to any
block drop in inet from 10.65.86.246 to any
block drop in on rl0 inet6 from fe80::2c0:26ff:fe8d:31e1 to any
block drop in log quick on rl0 inet from 10.0.0.0/8 to any label "block private networks from wan block 10/8"
block drop in log quick on rl0 inet from 127.0.0.0/8 to any label "block private networks from wan block 127/8"
block drop in log quick on rl0 inet from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"
block drop in log quick on rl0 inet from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"
anchor "limitingesr" all
block drop in quick from <virusprot> to any label "virusprot overload table"
anchor "wanbogons" all
block drop in log quick on rl0 from <bogons> to any label "block bogon networks from wan"
pass out quick on vr0 proto icmp all keep state label "let out anything from firewall host itself"
pass out quick on rl0 proto icmp all keep state label "let out anything from firewall host itself"
pass out quick on rl0 all flags S/SA keep state (tcp.closed 5) label "let out anything from firewall host itself"
anchor "firewallout" all
pass out quick on rl0 all flags S/SA keep state label "let out anything from firewall host itself"
pass out quick on vr0 all flags S/SA keep state label "let out anything from firewall host itself"
pass out quick on ath0 all flags S/SA keep state label "let out anything from firewall host itself"
pass out quick on fxp0 all flags S/SA keep state label "let out anything from firewall host itself"
pass out quick on enc0 all flags S/SA keep state label "IPSEC internal host to host"
pass out quick on ath0 proto icmp all keep state (tcp.closed 5) label "let out anything from firewall host itself"
pass out quick on ath0 all flags S/SA keep state (tcp.closed 5) label "let out anything from firewall host itself"
pass out quick on fxp0 proto icmp all keep state (tcp.closed 5) label "let out anything from firewall host itself"
pass out quick on fxp0 all flags S/SA keep state (tcp.closed 5) label "let out anything from firewall host itself"
block drop in log quick proto tcp from <sshlockout> to any port = ssh label "sshlockout"
anchor "ftpproxy" all
anchor "pftpx/*" all
pass in quick on fxp0 all flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto udp from 0.0.0.0 port = bootpc to 255.255.255.255 port = bootps keep state label "USER_RULE: Allow DHCP"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = domain flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto udp from 192.168.2.0/24 to any port = domain keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = ssh flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = http flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = https flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = pop3 flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = pop3s flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = smtp flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = smtps flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = aol flags S/SA keep state label "USER_RULE"
pass in quick on ath0 inet proto tcp from 192.168.2.0/24 to any port = jabber-client flags S/SA keep state label "USER_RULE: JABBER"
pass in quick on ath0 inet proto icmp from 192.168.2.0/24 to any icmp-type echoreq keep state label "USER_RULE"
block drop in quick on ath0 all label "USER_RULE: Deny all other"
pass in quick on vr0 inet proto udp from 0.0.0.0 port = bootpc to 255.255.255.255 port = bootps keep state label "USER_RULE: Allow DHCP"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = domain flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto udp from 192.168.2.0/24 to any port = domain keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = ssh flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = 9091 flags S/SA keep state label "USER_RULE: TRANSMISSION"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = ftp flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port 49151 >< 65535 flags S/SA keep state label "USER_RULE: ProftpD passive ports"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = http flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port 7999 >< 8002 flags S/SA keep state label "USER_RULE: RADIO ONLINE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = https flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = aol flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = jabber-client flags S/SA keep state label "USER_RULE: JABBER"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = pop3 flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = pop3s flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = smtp flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto tcp from 192.168.2.0/24 to any port = smtps flags S/SA keep state label "USER_RULE"
pass in quick on vr0 inet proto icmp from 192.168.2.0/24 to any icmp-type echoreq keep state label "USER_RULE"
block return in quick on vr0 all label "USER_RULE: REject all other"
block drop in quick on vr0 all label "USER_RULE: Deny all other"
pass in quick on vr0 inet proto tcp from any to 127.0.0.1 port = ftp-proxy flags S/SA keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on vr0 inet proto tcp from any to 127.0.0.1 port = ftp flags S/SA keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on rl0 inet proto tcp from any port = ftp-data to (rl0) port > 49000 flags S/SA keep state label "FTP PROXY: PASV mode data connection"
pass in quick on ath0 inet proto tcp from any to 127.0.0.1 port = 8022 flags S/SA keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on ath0 inet proto tcp from any to 127.0.0.1 port = ftp flags S/SA keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on fxp0 inet proto tcp from any to 127.0.0.1 port = 8023 flags S/SA keep state label "FTP PROXY: Allow traffic to localhost"
pass in quick on fxp0 inet proto tcp from any to 127.0.0.1 port = ftp flags S/SA keep state label "FTP PROXY: Allow traffic to localhost"
anchor "imspector" all
anchor "miniupnpd" all
block drop in log quick all label "Default deny rule"
block drop out log quick all label "Default deny rule"
:crazy:

Аватара пользователя
gabell
рядовой
Сообщения: 25
Зарегистрирован: 2010-04-30 10:51:00
Откуда: Питер

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение gabell » 2011-05-29 11:07:08

У вас открыты 80 порт и куча (49151 >< 65535) больших портов. Этого достаточно для торрент клиента.

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 17:13:21

gabell писал(а):У вас открыты 80 порт и куча (49151 >< 65535) больших портов. Этого достаточно для торрент клиента.
прошу прощения, не подскажете что мне делать с моей кучей?:))) с 80 портом понятно, а вот про указанный Вами интервал портов ничего не ясно? Откуда они взялись? В веб и-фейсе их не видать же... как их закрыть? :shock:

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение vadim64 » 2011-05-29 17:43:55

балин, да юзайте уже правильный ОС
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 17:52:06

vadim64 писал(а):балин, да юзайте уже правильный ОС
ну как бэ... квалификация не позволят:))) а это домашний, наладом дышащий срвачек, он же точка доступа вай-фай, работа которого в принципе во всем устраивает, просто хотелось бы лишние дырки заткнуть.. мож мона не через веб морду эттта сделать таки?

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение vadim64 » 2011-05-29 17:58:16

заводите новую тему, кидайте ссылку сюды
в теме перечисляйте сервисы которые у вас щас работают на вашей машине и начнём повышать вашу квалификацию

другой вариант: мне полюбилась тема http://forum.lissyara.su/viewtopic.php?t=31026, пишите по порядку туда вопросы/проблемы при разворачивании новых сервисов на фряхе, обязуюсь отвечать не реже чем раз в сутки
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
gabell
рядовой
Сообщения: 25
Зарегистрирован: 2010-04-30 10:51:00
Откуда: Питер

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение gabell » 2011-05-29 18:01:21

emlen писал(а):
gabell писал(а):У вас открыты 80 порт и куча (49151 >< 65535) больших портов. Этого достаточно для торрент клиента.
прошу прощения, не подскажете что мне делать с моей кучей?:))) с 80 портом понятно, а вот про указанный Вами интервал портов ничего не ясно? Откуда они взялись? В веб и-фейсе их не видать же... как их закрыть? :shock:
И в веб интерфейсе их видать. Судя по комментарию они у вас для ftp сервера. Тут уж ничего не поделаешь, если вы хотите, чтобы клиенты могли подключаться в пассивном режиме. Можно диапазон уменьшить в настройках сервера и на фаерволле соответственно. Либо пусть в активном режиме работают, на внутреннем интерфейсе с этим проблем я думаю не будет.

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 19:17:20

gabell писал(а):
emlen писал(а):
gabell писал(а):У вас открыты 80 порт и куча (49151 >< 65535) больших портов. Этого достаточно для торрент клиента.
прошу прощения, не подскажете что мне делать с моей кучей?:))) с 80 портом понятно, а вот про указанный Вами интервал портов ничего не ясно? Откуда они взялись? В веб и-фейсе их не видать же... как их закрыть? :shock:
И в веб интерфейсе их видать. Судя по комментарию они у вас для ftp сервера. Тут уж ничего не поделаешь, если вы хотите, чтобы клиенты могли подключаться в пассивном режиме. Можно диапазон уменьшить в настройках сервера и на фаерволле соответственно. Либо пусть в активном режиме работают, на внутреннем интерфейсе с этим проблем я думаю не будет.

эээээээээээ........ ТОЧНо, вот я лошара:)))))) вроде смотрел, что в этот интервал не входит... а чем смотрел не понятно:)))) СПАСИБО ОГРОМНОЕ!!!

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 19:54:04

А ПОДСКАЖИТЕ ПОЖАЛУЙСТА, КАК БЫ МНЕ ОТКЛЮЧИТЬ ПАССИВНЫЙ РЕЖИМ В ПРОФТПД? ДА ТАК ЧТОБЫ ИЗ ВИНДОВОГО ЭКСПЛОРЕРА ОТКРЫВАЛОСЬ.. А ТО ПАССИВНЫЕ ПОРТЫ В КОНФИГЕ УБРАЛ - ФАЙЛЗИЛЛА КОННЕКТИТСЯ, А ЭКСПЛОРЕР НИФИГА:-[

Аватара пользователя
emlen
ефрейтор
Сообщения: 58
Зарегистрирован: 2010-12-23 10:48:04

Re: правила pf для pfsense 1.2.3

Непрочитанное сообщение emlen » 2011-05-29 20:39:55

emlen писал(а):А ПОДСКАЖИТЕ ПОЖАЛУЙСТА, КАК БЫ МНЕ ОТКЛЮЧИТЬ ПАССИВНЫЙ РЕЖИМ В ПРОФТПД? ДА ТАК ЧТОБЫ ИЗ ВИНДОВОГО ЭКСПЛОРЕРА ОТКРЫВАЛОСЬ.. А ТО ПАССИВНЫЕ ПОРТЫ В КОНФИГЕ УБРАЛ - ФАЙЛЗИЛЛА КОННЕКТИТСЯ, А ЭКСПЛОРЕР НИФИГА:-[
нашел!!! просто пассивный режим в настройках ie откючил:))