Вопрос по pf

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
tufex
проходил мимо
Сообщения: 7
Зарегистрирован: 2010-10-09 18:47:32

Вопрос по pf

Непрочитанное сообщение tufex » 2010-10-11 19:57:05

Маленький вопросик:" При работе со Squid сначала надо nat-ить или rdr-ить?"

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Вопрос по pf

Непрочитанное сообщение Alex Keda » 2010-10-11 19:57:57

сначала, надо подумать.
Убей их всех! Бог потом рассортирует...

tufex
проходил мимо
Сообщения: 7
Зарегистрирован: 2010-10-09 18:47:32

Re: Вопрос по pf

Непрочитанное сообщение tufex » 2010-10-11 20:07:47

Спасибо, я просто встречал разные варианты , просто как правильно. Подумать то можно, наверное выкинуть в Squid, а потом проnatить. А на каком уровне работает Squid?

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Вопрос по pf

Непрочитанное сообщение BlackCat » 2010-10-12 9:34:42

tufex писал(а):А на каком уровне работает Squid?
В модели TCP/IP прокси работает на прикладном уровне (http://ru.wikipedia.org/wiki/TCP/IP).
=====
tufex писал(а):Подумать то можно, наверное выкинуть в Squid, а потом проnatить.
Наводящий вопрос: что будет делать squid и что будет делать NAT в такой схеме? Что вы вообще хотите сделать?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Вопрос по pf

Непрочитанное сообщение manefesto » 2010-10-12 10:00:51

Код: Выделить всё

rdr from <localnet> to ! <localnet> port www -> 127.0.0.1 port 3128
я такой яростный шо аж пиздеЦ
Изображение

Гость
проходил мимо

Re: Вопрос по pf

Непрочитанное сообщение Гость » 2010-10-13 10:38:46

Код: Выделить всё

rdr from <localnet> to ! <localnet> port www -> 127.0.0.1 port 3128
а после natить?
Я просто встечал примеры, где сначала натят, а потом rdr.
Последний раз редактировалось vadim64 2010-10-14 13:03:53, всего редактировалось 1 раз.
Причина: [code][/code]!!!

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Вопрос по pf

Непрочитанное сообщение manefesto » 2010-10-13 11:41:01

зачем натить то ?
я такой яростный шо аж пиздеЦ
Изображение

Гость
проходил мимо

Re: Вопрос по pf

Непрочитанное сообщение Гость » 2010-10-13 13:56:19

А как же остальной трафик, а как серые адреса локалки?

Гость
проходил мимо

Re: Вопрос по pf

Непрочитанное сообщение Гость » 2010-10-13 14:00:33

www - это 80 порт tcp,udp, а как же остальные протоколы?

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Вопрос по pf

Непрочитанное сообщение BlackCat » 2010-10-13 14:15:55

Из вашего вопрса не совсем понятно, что вы собираетесь делать:
  1. пропустить HTTP-трафик через прокси, а потом ещё и через NAT;
  2. пропустить HTTP-трафик через прокси, а весь остальной трафик через NAT.
=====
Если вы спрашивали в каком порядке писать правила в pf.conf, то rdr и nat не мешают друг другу. rdr-правила применяются только для входящего (полученного) трафика, nat-правила применяются только для исходящего (отправляемого) трафика. Имеет значение порядок нескольких rdr или нескольких nat правил.
=====
HTTP использует только TCP, UDP-порт зарезервирован, но не используется.

Гость
проходил мимо

Re: Вопрос по pf

Непрочитанное сообщение Гость » 2010-10-13 16:01:11

Спасибо теперь все понял, делаю пункт 2. И по правилам также , с этим разобрался. И еще один вопрос почему блокируется ssh из вне

Код: Выделить всё

pass in on $ext_if proto tcp from any to $ext_if port ssh synproxy state
Когда стоит это правило , то зайти в инета не могу, а когда убрал, все нормально
Последний раз редактировалось vadim64 2010-10-14 13:04:16, всего редактировалось 1 раз.
Причина: [code][/code]

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Вопрос по pf

Непрочитанное сообщение BlackCat » 2010-10-13 16:44:02

Попробуйте вот такой вариант:

Код: Выделить всё

pass in on $ext_if proto tcp from any to ($ext_if) port ssh keep state
и, пожалуйста, используйте тег(кнопку) code при оформлении сообщений.