Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Yanis
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-08-15 16:53:36
Непрочитанное сообщение
Yanis » 2010-04-28 19:46:54
Имеется pf, из локалки он работает правильно - маршруты меняются для сетей из таблицы <nursat>
Однако они не меняются, если источником трафика является сам комп с этим файерволом.
Шлюз по умолчанию установлен через карту $ext_xcom
Самое нижнее правило писал и так и сяк, запутался совсем.
Или м.б. там должно быть больше одного правила?
Код: Выделить всё
table <nursat> persist file "/etc/pf.nursat"
set block-policy drop
set skip on lo0
scrub in all fragment reassemble
int_if="re0"
ext_nursat="rl0"
ext_xcom="re1"
nat on $ext_nursat from $int_if:network to any -> $ext_nursat
nat on $ext_xcom from $int_if:network to any -> ($ext_xcom)
pass in quick on $int_if from $int_if:network to $int_if:network
block in on $ext_nursat
block in on $ext_xcom
pass in on $ext_xcom inet proto tcp to port 80 flags S/SA keep state
pass in on $ext_xcom inet proto tcp to port 21 flags S/SA keep state
pass in on $ext_xcom inet proto tcp to port 20 flags S/SA keep state
pass in on $ext_xcom proto tcp from any to any port > 49151 keep state
pass in inet proto tcp to port 22 flags S/SA keep state
pass in on $int_if from $int_if:network to any keep state
pass in on $int_if route-to ($ext_nursat 1.2.3.3) inet from $int_if:network to <nursat> flags S/SA keep state
pass in on $ext_nursat reply-to ($ext_nursat 1.2.3.3) inet from any to 1.2.3.4 flags S/SA keep state
pass out all
# Вот тут должно стоять что-то вроде
#pass out on $ext_xcom route-to ($ext_nursat 1.2.3.3) inet from any to <nursat> flags S/SA keep state
Yanis
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Yanis
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-08-15 16:53:36
Непрочитанное сообщение
Yanis » 2010-04-28 20:00:03
Т.е. когда ставлю
pass out ... route-to ...
С сервера пинги на хосты из <nursat> никуда не проходят.
Yanis
-
Yanis
- рядовой
- Сообщения: 23
- Зарегистрирован: 2008-08-15 16:53:36
Непрочитанное сообщение
Yanis » 2010-04-28 21:50:48
Уффф, победил, спасибо тспдампу
Не хватало строки в НАТе, и та строчка приобрела вид
Код: Выделить всё
nat on $ext_xcom from self to <nursat> -> 1.2.3.4
...
pass out route-to ($ext_nursat 1.2.3.3) inet from self to <nursat> flags S/SA keep state
Yanis
