pf.conf

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
papazda
проходил мимо

pf.conf

Непрочитанное сообщение papazda » 2008-09-02 13:32:37

Добрый день.
Делаю шлюз на FreeBSD 7.0 в качестве фаера поставил pf.
нужна простая конфигурация, разрешить все из внутренней сети
и запретить все в сеть.
нашел статью "маршрутизатор за 20 минут" в ней описана конфигурация которая в принципе мне и нужна. вот конфиг
#Описываем интерфейсы
int_if="fxp0"
ext_if="fxp1"

scrub in all
#правило для NAT.
nat on $ext_if from 192.168.0.0/24 to any -> ($ext_if)

#Блокируем весь входящий траффик на внешнем интерфейсе
block in on $ext_if all

#Разрешаем весь траффик на внутренний интерфейс
pass on $int_if all
#разрешаем исходящий трафик
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

собственно вопросы:
1. насколько безопасен сей конфиг ?
2. на этой же машине настроил mpd5 (для работы бухгалтера из дома), какие правила нужно прописать в pf.conf для этого соединения?
3. ещё по одной статье пытаюсь настроить openvpn, используя протокол udp и порт 2000, в конце статьи пример настройки файрвола ipfw, а какие правила мне прописать для pf

буду признателен за любой комментарий, спасибо

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: pf.conf

Непрочитанное сообщение Al » 2008-09-02 13:45:18

для mpd порт 1723 (pptp) и протокол gre разреши на вход.
Не забудь так же выпустить эти пакеты с $ext_if

DNK
проходил мимо

Re: pf.conf

Непрочитанное сообщение DNK » 2008-09-12 9:00:50

Все будет работать нормально.
добавь в начало :

Код: Выделить всё

set block-policy drop
set skip on lo0
scrub in all fragment reassemble
scrub out all
и измени маску сети на 16