ng0 загрузка правил pf

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
si4re
рядовой
Сообщения: 23
Зарегистрирован: 2010-02-14 23:03:42

ng0 загрузка правил pf

Непрочитанное сообщение si4re » 2010-10-03 15:46:32

добрый день товарищи
есть интернет шлюз freebsd 8
интернет посредством pppoe
реализовано на mpd5 и нат на pf
вопрос в чем
при загрузке системы сначала загружается pf и не находит интерфейс ng0 (потому что mpd еще не стартанул)
в результате правила не подгружаюся
как лучше и проще решить данный вопрос?


pf.conf

Код: Выделить всё

ext_if = "ng0"
        int_if = "dc0"

set loginterface $ext_if

scrub out on $ext_if  all min-ttl 128 fragment reassemble random-id
scrub out on $int_if  all min-ttl 128 fragment reassemble random-id
scrub in all fragment reassemble 
scrub    all reassemble tcp


#nat
nat on $ext_if  from 192.168.5.0/24 to any   -> ($ext_if)

set skip on lo0

#lan
antispoof quick for $int_if
  ##in
block in on $int_if all

        block in quick on $int_if proto tcp flags FUP/WEUAPRSF
        block in quick on $int_if proto tcp flags WEUAPRSF/WEUAPRSF
        block in quick on $int_if proto tcp flags SRAFU/WEUAPRSF
        block in quick on $int_if proto tcp flags /WEUAPRSF
        block in quick on $int_if proto tcp flags SR/SR
        block in quick on $int_if proto tcp flags SF/SF

pass in quick on $int_if proto tcp from $int_if:network to $int_if port 55599 #ssh
pass in quick on $int_if proto gre from $int_if:network to $int_if            #mpd
pass in quick on $int_if proto tcp from $int_if:network to $int_if port 1723  #mpd
pass in quick on $int_if proto tcp from $int_if:network to $int_if port {139, 445} #samba
pass in quick on $int_if proto udp from $int_if:network to $int_if port {137, 138} #samba 
pass in quick on $int_if inet proto icmp all icmp-type { echoreq, unreach } keep state #icmp
##out
pass out quick on $int_if from $int_if to $int_if:network 

#vpn_inet
  ##in
block in on $ext_if all
pass in quick on $ext_if inet proto icmp all icmp-type { echoreq, unreach } keep state
pass in quick on $ext_if proto tcp from any to $ext_if port 55599 #ssh
  ##out
pass out quick on $ext_if from $ext_if:network to any

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
baton4eg
сержант
Сообщения: 274
Зарегистрирован: 2009-10-11 14:36:35
Контактная информация:

Re: ng0 загрузка правил pf

Непрочитанное сообщение baton4eg » 2010-10-03 17:01:21

так же до недавнего времени было, mpd5+pf-nat, всё автоматически грузилось! покажите /etc/rc.conf

вот вырезка из /etc/rc.conf:

Код: Выделить всё

pf_enable="YES"                 # Enable PF (load module if required)
pf_rules="/etc/pf.conf"        # rules definition file for pf
pf_flags=""                    # additional flags for pfctl startup
pflog_enable="YES"             # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags=""                 # additional flags for pflogd startup
mpd_enable="YES"
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)

si4re
рядовой
Сообщения: 23
Зарегистрирован: 2010-02-14 23:03:42

Re: ng0 загрузка правил pf

Непрочитанное сообщение si4re » 2010-10-03 17:27:22

Код: Выделить всё

keymap="ru.koi8-r"
scrnmap="koi8-r2cp866"
font8x16="cp866-8x16"
font8x14="cp866-8x14"
font8x8="cp866-8x8"

hostname="free.local"

# Lan Ext
ifconfig_dc0="inet 192.168.3.55  netmask 255.255.252.0"

#GATEWAY
gateway_enable="YES"

#SSHD
sshd_enable="YES"

#MPD
mpd_enable="YES"

#FSCK
fsck_y_enable="YES"

#MYSQL
mysql_enable="YES"

#PROFTPD
proftpd_enable="YES"

#PF
pf_enable="YES"                 # Enable PF (load module if required)
pf_rules="/etc/pf.conf"         # rules definition file for pf
pf_flags=""                     # additional flags for pfctl startup
pflog_enable="YES"              # start pflogd(8)
pflog_logfile="/var/log/pflog"  # where pflogd should store the logfile
pflog_flags=""                  # additional flags for pflogd startup

#POWERD
powerd_enable="YES"

#SENDMAIL
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

# NTP
ntpd_enable="YES"                # Run ntpd Network Time Protocol (or NO).
ntpd_sync_on_start="YES"         # Sync time on ntpd startup, even if offset is

#firewall_enable="YES"            # Set to YES to enable firewall functionality
#firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
#firewall_type="OPEN"         # Firewall type (see /etc/rc.firewall)


Аватара пользователя
baton4eg
сержант
Сообщения: 274
Зарегистрирован: 2009-10-11 14:36:35
Контактная информация:

Re: ng0 загрузка правил pf

Непрочитанное сообщение baton4eg » 2010-10-03 17:34:14

попробуйте мб в /etc/rc.local пропишите:
/sbin/pfctl -f /etc/pf.conf
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)

si4re
рядовой
Сообщения: 23
Зарегистрирован: 2010-02-14 23:03:42

Re: ng0 загрузка правил pf

Непрочитанное сообщение si4re » 2010-10-03 19:56:05

решил правкой загрузочного скрипта mpd
способ не ахти но
ee /usr/local/etc/rc.d/mpd5

sleep 10
/sbin/pfctl -f /etc/pf.conf

Аватара пользователя
baton4eg
сержант
Сообщения: 274
Зарегистрирован: 2009-10-11 14:36:35
Контактная информация:

Re: ng0 загрузка правил pf

Непрочитанное сообщение baton4eg » 2010-10-03 20:01:24

странно что у вас изначально не работало то, что работает! =)
какая версия freebsd? какая версия mpd ?
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)

si4re
рядовой
Сообщения: 23
Зарегистрирован: 2010-02-14 23:03:42

Re: ng0 загрузка правил pf

Непрочитанное сообщение si4re » 2010-10-03 20:29:53

способ выше дурацкий
нашел новый и простой (на этом же форуме)
все дело было в правилах pf

pass out quick on $ext_if from ($ext_if:network) to any
pass in quick on $ext_if proto tcp from any to ($ext_if) port 55599


можт кто нить обьяснит научный смысл взятия переменной в скобки?

чееееелл
проходил мимо

Re: ng0 загрузка правил pf

Непрочитанное сообщение чееееелл » 2011-07-23 18:46:15

кароче вместо интерфейса впиши маску

Код: Выделить всё

 
ext_adrr="123.123.123.123/32"
$ext_adrr

чееееллл
проходил мимо

Re: ng0 загрузка правил pf

Непрочитанное сообщение чееееллл » 2011-07-23 18:48:19

а можно и так это если в ALTQ есть ng0

Два файла конфигов pf.conf и pf_vpn.conf (во втором добавлено все что касается ng0)
В rc.conf дефолтным прописан pf.conf.
При старте считывается дефолтный, в mpd скриптах добавляем, в up: pfctl -f /etc/pf_vpn.conf, в down: pfctl -f /etc/pf.conf

если есть другие способы я бы почитал :)