PF и block in

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

PF и block in

Непрочитанное сообщение tyler56 » 2010-03-15 19:26:48

Товарищи помогите разобраться с pf-ом
Есть vpn сервер и подсеть 192.168.5.0/24
Эта подсеть натится на pppoe соединение.
Без block in все работает а с ним трафик в нет не идет.
Из конфига убрал правила доступа к сервисам самого сервера.

Код: Выделить всё

#1 макросы
#2 таблицы
#3 опции
#4 параметры нормализации
#5 qltq
#6 правила трансляции
#7 правила фильтра

###############
#макросы      #
###############

#локалка
local_if="rl2"
local_ip="192.168.0.1"
local_net="192.168.0.1/24"

#локальный провайдер
prov_if="rl1"
prov_ip="10.10.10.12"

#byfly интернет
byfly_if="ng0"

################
#таблицы       #
################

table <local_prov> {        \
10.0.0.1/8              \
}

#################
#опции          #
#################
set loginterface none
set optimization normal
set block-policy drop
set skip on lo0
set skip on $local_if
#######################
#опции нормализации   #
#######################
#scrub in all

#нат  vpn сеть в инет
nat on $byfly_if from 192.168.5.1/24 to any -> ($byfly_if)

#nat с локалки в сеть локального провайдера
nat on $prov_if from 192.168.0.1/24 to <local_prov> -> $prov_ip

###################
#правила фильтра  #
###################

#блокировали весь входящий трафик
#block in

# block the ssh bruteforce bastards
block drop in quick from <ssh-bruteforce>

pass out keep state

#vpn mpd 1723 and gre
pass in on { $local_if, $prov_if } proto tcp from { $local_net, <local_prov> } \
to { $local_ip, $prov_ip } port = 1723 keep state

pass proto gre from any to any

#трафик от сервера
pass out from { $local_ip, $prov_ip } to any keep state
pass out from (byfly_if) to any keep state

pass out on $prov_if from 192.168.0.1/24 to <local_prov> keep state
pass out on $byfly_if from 192.168.5.1/24 to any keep state


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

_Гагарин
проходил мимо

Re: PF и block in

Непрочитанное сообщение _Гагарин » 2010-03-15 20:37:15

192.168.0.1/24
192.168.5.1/24
это че за херня?

а вообще рисуй картинку, так быстрее помошников найдешь

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: PF и block in

Непрочитанное сообщение Shuba » 2010-03-16 11:08:48

_Гагарин писал(а):
192.168.0.1/24
192.168.5.1/24
это че за херня?

а вообще рисуй картинку, так быстрее помошников найдешь
Присоеденяюсь, пропиши для начала 192.168.5/25 или 192.168.0.0/24
Сила ночи, сила дня - одинакова фигня!

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-16 19:31:17

Изображение
192.168.0.1/24 -домашняя локалка она натится в локалку провайдера
192.168.5.1/24 - впн подсеть она натится в инет на интерфейсе ng0
10.0.0.1/8 - сеть локального провайдера
Последний раз редактировалось tyler56 2010-03-16 20:52:27, всего редактировалось 1 раз.

_Менделеев
проходил мимо

Re: PF и block in

Непрочитанное сообщение _Менделеев » 2010-03-16 20:32:34

не вижу картынку

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-16 20:54:32

перезалил на другой хостинг.

_Менделеев
проходил мимо

Re: PF и block in

Непрочитанное сообщение _Менделеев » 2010-03-16 21:57:48

к роутеру (на нем впн сервер стоит) из домашней локалки конекается комп
ему выдается адрес из подсети 192.168.5.0/24
на роутере поднимается ng интерфейс
где он на картинке и в правилах?

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-16 22:33:59

#нат vpn сеть в инет
nat on $byfly_if from 192.168.5.1/24 to any -> ($byfly_if)


#разрешаем этой сети доступ куда угодно
pass out on $byfly_if from 192.168.5.1/24 to any keep state

Получается что нат работает т.к. без block in трафик идет.
Последний раз редактировалось tyler56 2010-03-16 22:37:21, всего редактировалось 1 раз.

_Гагарин
проходил мимо

Re: PF и block in

Непрочитанное сообщение _Гагарин » 2010-03-16 22:35:46

пипец, как все запутано.

на роутере интернет откуда появляется?

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-16 22:43:16

на роутере инет с ASDL модема подымается mpd клиентом на ng0

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-16 22:53:12

Даже если не указывать интерфейс

Код: Выделить всё

pass out from 192.168.5.1/24 to any keep state
то все равно при block in трафик не идет

_Сатана
проходил мимо

Re: PF и block in

Непрочитанное сообщение _Сатана » 2010-03-16 22:57:14

ок. ng0 делает интернет на роутере
каким образом происходит появление подсети 192.168.5.0/24 в домашней локалке?
предполагаю что из домашней локалки 192.168.0.0/24 конекаются к впн серверу на роутере, если так, то где еще один интерфейм ng?

и не надо бесить меня вот такими надписям:"192.168.5.1/24"

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-16 23:05:43

_Сатана писал(а):ок. ng0 делает интернет на роутере
каким образом происходит появление подсети 192.168.5.0/24 в домашней локалке?
предполагаю что из домашней локалки 192.168.0.0/24 конекаются к впн серверу на роутере, если так, то где еще один интерфейм ng?

и не надо бесить меня вот такими надписям:"192.168.5.1/24"
Подсеть 192.168.5.0/24 образует mpd. Пользователи с моей локалки и локалки провайдера могут подключаться к mpd.
вы правы собака тут и зарыта.
Нужно добавлять для каждого поднятого интерефеса примерно такое правило

Код: Выделить всё

pass quick on ngX all
А что смущает в 192.168.5.1/24 это теже яйца 192.168.5.0/24
Спасибо за помощь. Как всегда решение простое а голову можно сломать)

_Попов
проходил мимо

Re: PF и block in

Непрочитанное сообщение _Попов » 2010-03-16 23:16:08

так че теперь пашет что ли?
tyler56 писал(а):...А что смущает в 192.168.5.1/24 это теже яйца 192.168.5.0/24
мне ажется это яйца раные
еще мне кажется правильнее было бы написать 192.168.5/24, но например сквид такое не поймет, не знаю правда как он воспримет 192.168.5.1/24, а вот 192.168.5.0/24 точно всасет.

не буду говорить авторитетно, просто принято если уж не писать 192.168.5/24, то писать 192.168.5.0/24
разница в том, что
192.168.5.0/24 это [АдресСети]/[Маска]
когда
192.168.5.1/24 это [ХостВподсети192.168.5.0/24]/[Маска]
и это большая разница...

tyler56
сержант
Сообщения: 198
Зарегистрирован: 2009-06-03 18:10:15

Re: PF и block in

Непрочитанное сообщение tyler56 » 2010-03-17 7:40:45

Да получилось
Ножно добовлять через якорь вот такие правила

Код: Выделить всё

pass quick on ngX all
тут похожая тема http://www.opennet.ru:8101/openforum/vs ... 79119.html