Блокировка сайтов средствами PF (packet filter)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Блокировка сайтов средствами PF (packet filter)

Непрочитанное сообщение WideAreaNetwork » 2021-08-29 14:07:06

на брасе хотел попробовать правило для запрета сайтов, на нем же активный ipfw которым управляет биллинг для доступа в инет юзерам

в файле /etc/pf.conf после секции макросов вставил секцию для таблиц, а именно правило

Код: Выделить всё

table <blocklist>  file "/root/block_dns2"
так же в самом конце конфига после правил ната и пробросов портов прописал правило которое запрещает ресурсы которые есть в таблице

Код: Выделить всё

block in quick on $ext_if from <blocklist> to any
где $ext_if внешний интерфейс, пока в файле одна запись - ukr.net, в таблице есть айпишки

Код: Выделить всё

# pfctl -t blocklist -T show
   212.42.76.252
   212.42.76.253
но к сожалению доступ к сайту не закрыт, он открывается
кусок конфига

Код: Выделить всё

# cat /etc/pf.conf
########        macros section  ########
ext_if = "vlan9"
set limit states 128000
set optimization aggressive


########        table section   ########
table <blocklist>  file "/root/block_dns2"

########        binat section   ########
binat on $ext_if from 192.168.7.25 to any -> X.X.X.X

########        nat section     ########
nat pass on $ext_if from 192.168.7.0/24 to any -> X.X.X.X

########        rdr section     ########
#rdr on tl0 proto tcp from 192.0.2.1 to 24.65.1.13 port 80 -> 192.168.1.5 port 8000

#1C
rdr on $ext_if proto tcp from any to X.X.X.X port 63389 -> 192.168.7.20 port 3389

########        filtering section       ########
block in quick on $ext_if from <blocklist> to any

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Neus
капитан
Сообщения: 1976
Зарегистрирован: 2008-09-08 21:59:56

Блокировка сайтов средствами PF (packet filter)

Непрочитанное сообщение Neus » 2021-08-30 12:13:38

WideAreaNetwork писал(а):
2021-08-29 14:07:06
######## filtering section ########
block in quick on $ext_if from <blocklist> to any
по-моему надо исходящие запросы блокировать, а не входящий трафик...

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Блокировка сайтов средствами PF (packet filter)

Непрочитанное сообщение WideAreaNetwork » 2021-08-30 12:18:15

то-есть in сменить на out ? если да то все равно не работает

Аватара пользователя
Neus
капитан
Сообщения: 1976
Зарегистрирован: 2008-09-08 21:59:56

Блокировка сайтов средствами PF (packet filter)

Непрочитанное сообщение Neus » 2021-08-30 12:37:39

block out quick on $ext_if from any to <blocklist>
Physics is mathematics with the constraint of reality.
Engineering is physics with the constraint of money.

LOR захватили ситхи.
Добро пожаловать на светлую сторону!

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

Блокировка сайтов средствами PF (packet filter)

Непрочитанное сообщение WideAreaNetwork » 2021-08-30 14:31:56

спасибо большое, помогло
могу попросить объяснить где ошибся? почему надо было во from ставить any , а в to таблицу ?

Аватара пользователя
Neus
капитан
Сообщения: 1976
Зарегистрирован: 2008-09-08 21:59:56

Блокировка сайтов средствами PF (packet filter)

Непрочитанное сообщение Neus » 2021-08-30 15:56:51

потому что исходящий запрос идет К сайту, а не ОТ него.
Physics is mathematics with the constraint of reality.
Engineering is physics with the constraint of money.

LOR захватили ситхи.
Добро пожаловать на светлую сторону!