Добрый день.
Делаю шлюз на FreeBSD 7.0 в качестве фаера поставил pf.
нужна простая конфигурация, разрешить все из внутренней сети
и запретить все в сеть.
нашел статью "маршрутизатор за 20 минут" в ней описана конфигурация которая в принципе мне и нужна. вот конфиг
#Описываем интерфейсы
int_if="fxp0"
ext_if="fxp1"
scrub in all
#правило для NAT.
nat on $ext_if from 192.168.0.0/24 to any -> ($ext_if)
#Блокируем весь входящий траффик на внешнем интерфейсе
block in on $ext_if all
#Разрешаем весь траффик на внутренний интерфейс
pass on $int_if all
#разрешаем исходящий трафик
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
собственно вопросы:
1. насколько безопасен сей конфиг ?
2. на этой же машине настроил mpd5 (для работы бухгалтера из дома), какие правила нужно прописать в pf.conf для этого соединения?
3. ещё по одной статье пытаюсь настроить openvpn, используя протокол udp и порт 2000, в конце статьи пример настройки файрвола ipfw, а какие правила мне прописать для pf
буду признателен за любой комментарий, спасибо
pf.conf
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- ст. прапорщик
- Сообщения: 501
- Зарегистрирован: 2007-10-18 13:42:48
- Откуда: Тверь
- Контактная информация:
Re: pf.conf
для mpd порт 1723 (pptp) и протокол gre разреши на вход.
Не забудь так же выпустить эти пакеты с $ext_if
Не забудь так же выпустить эти пакеты с $ext_if
-
- проходил мимо
Re: pf.conf
Все будет работать нормально.
добавь в начало :
и измени маску сети на 16
добавь в начало :
Код: Выделить всё
set block-policy drop
set skip on lo0
scrub in all fragment reassemble
scrub out all