authpf

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
AlekseyK
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-02-11 16:08:33

authpf

Непрочитанное сообщение AlekseyK » 2009-02-11 16:11:26

Доброго всем времени суток.
Сегодня столкнулся с проблемой настройки authpf
вроде все настройки зделал правильно (на других серверах работает но не ст такой конфигурацией pf). при авторизации получаю
/etc/authpf/users/test/authpf.rules:2: syntax error
pfctl: Syntax error in config file: pf rules not loaded
Unable to modify filters
Connection to 10.x.x.x closed.
Вот файл pf.conf

Код: Выделить всё

#    $FreeBSD: src/etc/pf.conf,v 1.2 2004/09/14 01:07:18 mlaier Exp $
#    $OpenBSD: pf.conf,v 1.21 2003/09/02 20:38:44 david Exp $
#

# Macros: define common values, so they can be referenced and changed easily.
if="bge0"    # replace with actual external interface name i.e., dc0
icmp_types = "{0,3,8,13,14,30}"

# Tables: similar to macros, but more flexible for many addresses.
table <ids_group> persist file "/etc/pf_table_ids_sensors"
table <MAIN_user> persist file "/etc/pf_table_users"
table <apcupsd_users> persist file "/etc/pf_table_apcupsd_users"
table <zabbix_clients> persist file "/etc/pf_table_zabbix_clients"
table <hobbit_clients> persist file "/etc/pf_table_hobbit_clients"
table <svn_users> persist file "/etc/pf_table_svn_users"
table <authpf_users> persist

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

# Normalization: reassemble fragments and resolve or reduce traffic ambiguities.
### PROBLEM FOR RECIVE FILES FROM KHARKOV !!!!!!
###scrub in all fragment reassemble

# Filtering: the implicit first two rules are
#pass in all
#pass out all

# block all incoming packets but allow ssh, pass all outgoing tcp and udp
# connections and keep state, logging blocked packets.
block in log all
pass  quick on lo0 all

# pass icmp and administring
pass  quick inet proto icmp all icmp-type $icmp_types keep state

###################
# SERVICES
# pass to ALL services from USER, SENSOR
pass  quick on $if from <MAIN_user> to any keep state
pass  quick on $if from <ids_group> to any keep state

# pass from user_SERVICES to
# pass from ALL to ( ssh )
#pass  quick on $if proto tcp from any to port { 22 } keep state
pass  quick on $if proto tcp from <apcupsd_users> to port { 3551 } keep state

# pass from ALL to ( https )
pass  quick on $if proto tcp from any to port { 443 } keep state

# pass from CLIENTS to ( zabbix, hobbit )
pass  quick on $if proto tcp from <zabbix_clients> to port { 10050, 10051 } keep state
pass  quick on $if proto tcp from <hobbit_clients> to port { 1984 } keep state

# pass from USER to ( subversion )
pass  quick on $if proto tcp from <svn_users> to port { 3690 } keep state

###################
# PROTECT
# protect ssh for crack password
pass  in  on $if proto tcp from any to port ssh keep state \
    (max-src-conn 10, max-src-conn-rate 5/60, overload <hammering> flush)
pass  in  on $if proto tcp from <hammering> to port ssh probability 65%

###################
# ANOTHER
###pass  in  on $if proto tcp from <authpf_users> to port { smtp, imap } keep state

###################
# OUT
pass  out on $if proto { tcp, udp, icmp } all keep state
###############################################
# AUTHPF
anchor "authpf/*" in on $if
###################
# END
Файл /etc/authpf/users/test/authpf.rules

Код: Выделить всё

if="bge0"
pass quick on $if proto tcp from $user_ip to port  { 80 }  keep state

Подскажите пожалуйста в чем может быть проблема

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: authpf

Непрочитанное сообщение zingel » 2009-02-13 6:50:46

ну английским же написано языком, что конфиг у Вас кривой совсем
дайте мне сюда скорей пока тёмный властелин не ушел долго спать

Код: Выделить всё

pfctl -v -Fa -f /etc/pf.conf     

да, забыл, дублировать свой вопрос на другом форуме - порождать неуважение что к тому форуму, что к этому, опеннет - давно не показатель.
Z301171463546 - можно пожертвовать мне денег

AlekseyK
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-02-11 16:08:33

Re: authpf

Непрочитанное сообщение AlekseyK » 2009-02-13 10:09:57

Код: Выделить всё

host# pfctl -v -Fa -f /etc/pf.conf
rules cleared
nat cleared
0 tables deleted.
altq cleared
0 states cleared
source tracking entries cleared
pf: statistics cleared
pf: interface flags reset
if = "bge0"
icmp_types = "{0,3,8,13,14,30}"
table <ids_group> persist file "/etc/pf_table_ids_sensors"
table <MAIN_user> persist file "/etc/pf_table_users"
table <apcupsd_users> persist file "/etc/pf_table_apcupsd_users"
table <zabbix_clients> persist file "/etc/pf_table_zabbix_clients"
table <hobbit_clients> persist file "/etc/pf_table_hobbit_clients"
table <svn_users> persist file "/etc/pf_table_svn_users"
table <authpf_users> persist
set timeout interval 10
set timeout frag 30
set timeout tcp.first 120
set timeout tcp.opening 30
set timeout tcp.established 86400
set timeout tcp.closing 900
set timeout tcp.finwait 45
set timeout tcp.closed 90
set timeout udp.first 60
set timeout udp.single 30
set timeout udp.multiple 60
set timeout icmp.first 20
set timeout icmp.error 10
set timeout other.first 60
set timeout other.single 30
set timeout other.multiple 60
set timeout adaptive.start 0
set timeout adaptive.end 0
set limit states 10000
set limit frags 5000
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"
block drop in log all
pass quick on lo0 all flags S/SA keep state
pass quick inet proto icmp all icmp-type echorep keep state
pass quick inet proto icmp all icmp-type unreach keep state
pass quick inet proto icmp all icmp-type echoreq keep state
pass quick inet proto icmp all icmp-type timereq keep state
pass quick inet proto icmp all icmp-type timerep keep state
pass quick inet proto icmp all icmp-type trace keep state
pass quick on bge0 from <MAIN_user> to any flags S/SA keep state
pass quick on bge0 from <ids_group> to any flags S/SA keep state
pass quick on bge0 proto tcp from <apcupsd_users> to any port = 3551 flags S/SA keep state
pass quick on bge0 proto tcp from any to any port = https flags S/SA keep state
pass quick on bge0 proto tcp from <zabbix_clients> to any port = 10050 flags S/SA keep state
pass quick on bge0 proto tcp from <zabbix_clients> to any port = 10051 flags S/SA keep state
pass quick on bge0 proto tcp from <hobbit_clients> to any port = 1984 flags S/SA keep state
pass quick on bge0 proto tcp from <svn_users> to any port = svn flags S/SA keep state
pass in on bge0 proto tcp from any to any port = ssh flags S/SA keep state (source-track rule, max-src-conn 10, max-src-conn-rate 5/60, overload <hammering> flush, src.track 60)
pass in on bge0 proto tcp from <hammering> to any port = ssh flags S/SA keep state probability 65%
pass out on bge0 proto tcp all flags S/SA keep state
pass out on bge0 proto udp all keep state
pass out on bge0 proto icmp all keep state
anchor "/*" in on bge0 all

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: authpf

Непрочитанное сообщение zingel » 2009-02-13 10:33:50

с этим ок, давайте

Код: Выделить всё

/etc/authpf/users/test/authpf.rules
самое последнее
Z301171463546 - можно пожертвовать мне денег

AlekseyK
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-02-11 16:08:33

Re: authpf

Непрочитанное сообщение AlekseyK » 2009-02-13 10:39:50

pfctl -v -Fa -f /etc/authpf/users/test/authpf.rules
rules cleared
nat cleared
7 tables deleted.
altq cleared
0 states cleared
source tracking entries cleared
pf: statistics cleared
pf: interface flags reset
if = "bge0"
/etc/authpf/users/test/authpf.rules:2: macro 'user_ip' not defined
/etc/authpf/users/test/authpf.rules:2: syntax error
pfctl: Syntax error in config file: pf rules not loaded

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: authpf

Непрочитанное сообщение zingel » 2009-02-13 10:44:07

синтаксически явно нехватает слова
Z301171463546 - можно пожертвовать мне денег

Гость
проходил мимо

Re: authpf

Непрочитанное сообщение Гость » 2009-02-13 10:54:37

Подскажите где добавить to

AlekseyK
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-02-11 16:08:33

Re: authpf

Непрочитанное сообщение AlekseyK » 2009-02-13 11:08:35

Подскажте что можно иcправить и где нужно добавить