pf маршруты

[Spook1680]

на freebsd
крутиться squid
пользователи получают доступ через прокси сервер. по лог. и паролю.
Подскажите пожалуйста гуру
как реализовать в pf доступ на пряму для почты и банк клиента
почтовик майкрос. оутлук.
читал статью
http://www.lissyara.su/articles/freebs ... sd/pf/pf/
Читал вот это

# Открытые порты 25 и 110 для таблицы mail
nat pass on $ext_if from $mail to any port 25 -> $ext_if
nat pass on $ext_if from $mail to any port 110 -> $ext_if

Объясните болбесу про какие таблици идет речь и как это реализовать можно.
B Можно ли это сделать при помощи squida/
горит этот вопрос.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Shuba]

Таблицы тут не обязательны. Написано всё прапвильно:

Код: Выделить всё

nat pass on $ext_if from $mail to any port 25 -> $ext_if
nat pass on $ext_if from $mail to any port 110 -> $ext_if

Здесь $ext_if - внешняя сетевуха, на которой происходит nat, $mail - адрес(а), которым нужно работать с внешней почтой, ну а 25 и 110 порты, которые нужно натить для работы почты. Соответсвенно вместо этих параметров вставь свои и будет у тебя натиться почта

[Spook1680]

Таблицы тут не обязательны. Написано всё прапвильно:

Код: Выделить всё

nat pass on $ext_if from $mail to any port 25 -> $ext_if
nat pass on $ext_if from $mail to any port 110 -> $ext_if

Здесь $ext_if - внешняя сетевуха, на которой происходит nat, $mail - адрес(а), которым нужно работать с внешней почтой, ну а 25 и 110 порты, которые нужно натить для работы почты. Соответсвенно вместо этих параметров вставь свои и будет у тебя натиться почта

Вот мой pf.conf

Код: Выделить всё

set skip on lo0
set block-policy return
scrub in all
block in log
antispoof quick for lo0 inet
block in from no-route to any
pass out keep state
table <blacklist> persist file "/etc/blacklist"
pass inet proto icmp from any to any
pass in proto {tcp,udp} from any to any port 49152:65535 keep state
block from <blacklist> to any
add allow ip from any to any via rl0
pass in on sis0 proto udp from any to (sis0) port 137 keep state
pass in on sis0 proto udp from any to (sis0) port 138 keep state
pass in on sis0 proto tcp from any to (sis0) port 445 keep state
pass in on sis0 proto tcp from any to (sis0) port 139 keep state
pass in on sis0 proto tcp from any to (sis0) port 143 keep state
#FwCMD="/sbin/ipfw"
ext_if="sis0"
int_if="rl0"
#IpIn="192.168.21.1
#IpOut="77.108.98.213"
#NetMask="24"
#lo0="127.0.0.1"
#${FwCMD} -f flush
#${FwCMD} add check-state
#${FwCMD} add allow ip from any to any via rl0
#${FwCMD} add 192.168.21.2,25 tcp from ${NetIn}/${NetMask} to any 25 via ${LanOut}
#${FwCMD} add 192.168.21.2,110 tcp from ${NetIN}/${NetMask} to any 110 via ${LanOut}
#${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
#${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#nat pass on rl0 from 192.168.21.2 to any port 25 -> $ext_if
#nat pass on rl0 from 192.168.21.2 to any port 110 -> $ext_if
#table <mail> { 192.168.21.0/24 }
#mail="{ 192.168.21.2 }"
#SERVERS_table="{ 192.168.21.2 }"
#NoRouteIPs = "{127.0.0.0/8 }"
nat pass on $ext_if from 192.168.21.2 to any port 25 -> $ext_if
nat pass on $ext_if from 192.168.21.2 to any port 110 -> $ext_if
#add allow ip from any to any via rl0

вот мой файл ядра кусок generic

options SCHED_ULE # ULE scheduler
options PREEMPTION # Enable kernel thread preemption
options INET # InterNETworking
options INET6 # IPv6 communications protocols
options SCTP # Stream Control Transmission Protocol
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big directories
options UFS_GJOURNAL # Enable gjournal-based UFS journaling
options MD_ROOT # MD is a potential root device
options NFSCLIENT # Network Filesystem Client
options NFSSERVER # Network Filesystem Server
options NFSLOCKD # Network Lock Manager
options NFS_ROOT # NFS usable as /, requires NFSCLIENT
options MSDOSFS # MSDOS Filesystem
options CD9660 # ISO 9660 Filesystem
options PROCFS # Process filesystem (requires PSEUDOFS)
options PSEUDOFS # Pseudo-filesystem framework
options GEOM_PART_GPT # GUID Partition Tables.
options GEOM_LABEL # Provides labelization
options COMPAT_43TTY # BSD 4.3 TTY compat (sgtty)
options COMPAT_FREEBSD4 # Compatible with FreeBSD4
options COMPAT_FREEBSD5 # Compatible with FreeBSD5
options COMPAT_FREEBSD6 # Compatible with FreeBSD6
options COMPAT_FREEBSD7 # Compatible with FreeBSD7
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
options KTRACE # ktrace(1) support
options STACK # stack(9) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options P1003_1B_SEMAPHORES # POSIX-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options PRINTF_BUFR_SIZE=128 # Prevent printf output being interspersed.
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
options HWPMC_HOOKS # Necessary kernel hooks for hwpmc(4)
options AUDIT # Security event auditing
options MAC # TrustedBSD MAC Framework
options FLOWTABLE # per-cpu routing cache
#options KDTRACE_HOOKS # Kernel DTrace hooks
options INCLUDE_CONFIG_FILE # Include this file in kernel
options IPDIVERT

rc.conf

Код: Выделить всё

# Enable the firewall
pf_rules="/etc/pf.conf"
pf_enable="YES"
pf_flags=""

# Enable ipfw and open it by default since we have PF
firewall_enable="YES"
firewall_type="open"

Подскажите где ошибка как надо сделать.

[Spook1680]

[root@pcbsd]/etc(106)# pfctl -f /etc/pf.conf
/etc/pf.conf:12: syntax error
/etc/pf.conf:39: syntax error
/etc/pf.conf:40: syntax error
pfctl: Syntax error in config file: pf rules not loaded

почему ругаеться кто может подсказать

у меня sis0 смотрит на ружу
rl0 локальная сеть.
прописывал в pf.conf

Код: Выделить всё

nat pass on sis0 proto tcp from 192.168.21.2 to any 25 -> $ext_if
nat pass on sis0 proto tcp from 192.168.21.2 to any 110 -> $ext_if

[Shuba]

Таблицы тут не обязательны. Написано всё прапвильно:

Код: Выделить всё

nat pass on $ext_if from $mail to any port 25 -> $ext_if
nat pass on $ext_if from $mail to any port 110 -> $ext_if

Здесь $ext_if - внешняя сетевуха, на которой происходит nat, $mail - адрес(а), которым нужно работать с внешней почтой, ну а 25 и 110 порты, которые нужно натить для работы почты. Соответсвенно вместо этих параметров вставь свои и будет у тебя натиться почта

Вот мой pf.conf

Код: Выделить всё

set skip on lo0
set block-policy return
scrub in all
block in log
antispoof quick for lo0 inet
block in from no-route to any
pass out keep state
table <blacklist> persist file "/etc/blacklist"
pass inet proto icmp from any to any
pass in proto {tcp,udp} from any to any port 49152:65535 keep state
block from <blacklist> to any
add allow ip from any to any via rl0
pass in on sis0 proto udp from any to (sis0) port 137 keep state
pass in on sis0 proto udp from any to (sis0) port 138 keep state
pass in on sis0 proto tcp from any to (sis0) port 445 keep state
pass in on sis0 proto tcp from any to (sis0) port 139 keep state
pass in on sis0 proto tcp from any to (sis0) port 143 keep state
#FwCMD="/sbin/ipfw"
ext_if="sis0"
int_if="rl0"
#IpIn="192.168.21.1
#IpOut="77.108.98.213"
#NetMask="24"
#lo0="127.0.0.1"
#${FwCMD} -f flush
#${FwCMD} add check-state
#${FwCMD} add allow ip from any to any via rl0
#${FwCMD} add 192.168.21.2,25 tcp from ${NetIn}/${NetMask} to any 25 via ${LanOut}
#${FwCMD} add 192.168.21.2,110 tcp from ${NetIN}/${NetMask} to any 110 via ${LanOut}
#${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
#${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#nat pass on rl0 from 192.168.21.2 to any port 25 -> $ext_if
#nat pass on rl0 from 192.168.21.2 to any port 110 -> $ext_if
#table <mail> { 192.168.21.0/24 }
#mail="{ 192.168.21.2 }"
#SERVERS_table="{ 192.168.21.2 }"
#NoRouteIPs = "{127.0.0.0/8 }"
nat pass on $ext_if from 192.168.21.2 to any port 25 -> $ext_if
nat pass on $ext_if from 192.168.21.2 to any port 110 -> $ext_if
#add allow ip from any to any via rl0

rc.conf

Код: Выделить всё

# Enable the firewall
pf_rules="/etc/pf.conf"
pf_enable="YES"
pf_flags=""

# Enable ipfw and open it by default since we have PF
firewall_enable="YES"
firewall_type="open"

Подскажите где ошибка как надо сделать.

Ужас!!! Что это было??? ipfw и pf в одном флаконе. На сколько я понял ты не знаешь ни ipfw, ни pf. Сосредоточся на изучении чего-нить одного. Для начала можно оставить pf и выкинуть

Код: Выделить всё

firewall_enable="YES"
firewall_type="open"

из rc.conf
Далее, у тебя ошибки в 12, 39 и 40 строках:

Код: Выделить всё

add allow ip from any to any via rl0

это правило из ipfw, а в 39 и 40 поставь

Код: Выделить всё

nat on $ext_if from 192.168.21.2 to any port 25 -> $ext_if
nat on $ext_if from 192.168.21.2 to any port 110 -> $ext_if

Кроме того в pf.conf у тебя полный беспорядок. Читай доки

[Spook1680]

Ошибки понял, вот изменил конфиг.

pf.conf

Код: Выделить всё

ext_if = "sis0"
int_if = "rl0"
lan_net = "192.168.21.0/24"
nat_users = "192.168.21.2"
nat_services="25,110"
#table <firewall> const {slf}
set skip on lo0
#scrub in all
#nat on $ext_if from $nat_users to any port $nat_services -> $ext_if
nat pass on $ext_if from $nat_users to any port $nat_services -> $ext_if

даю команду
[root@pcbsd]/etc(152)# /etc/rc.d/pf start
Enabling pf.
/etc/pf.conf:28: syntax error
pfctl: Syntax error in config file: pf rules not loaded

в чем может быть косяк.
в rc.conf прописано

Код: Выделить всё

firewall_type="close"

По умолчанке стоит pf в системе.
ipfw в ядро не прописан.

[rnd]

Код: Выделить всё

/etc/pf.conf:28: syntax error

он же вам говорит в чем дело
смотрите 28 строчку вашего конфига на предмет ошибок синтаксиса

[Spook1680]

Код: Выделить всё

/etc/pf.conf:28: syntax error

он же вам говорит в чем дело
смотрите 28 строчку вашего конфига на предмет ошибок синтаксиса

Я прошу помочь потому как не вижу этой ошибки.

[AzureZ]

Что у вас находится в строчке 28 в /etc/pf.conf

[Shuba]

в rc.conf прописано

Код: Выделить всё

firewall_type="close"

По умолчанке стоит pf в системе.
ipfw в ядро не прописан.

Убери упоминание об ipfw в rc.conf, ща ты вообще всё закрыл
И с PF нужно работать через pfctl, а не /etc/rc.d/pf start

[Shuba]

И вообще, вот тебе ссылка на очень хорошую доку по pf, почитай прежде чем что-то настраивать, особенно на боевых серверах

[Spook1680]

Что у вас находится в строчке 28 в /etc/pf.conf

pf.conf

Код: Выделить всё

ext_if = "sis0"
int_if = "rl0"
lan_net = "192.168.21.0/24"
nat_users = "192.168.21.2"
nat_services="25,110"
#table <firewall> const {slf}
set skip on lo0
#scrub in all
#nat on $ext_if from $nat_users to any port $nat_services -> $ext_if
nat pass on $ext_if from $nat_users to any port $nat_services -> $ext_if

Eto vez fail ostalnie stroki zakomentil
28 - eto poslednaya s pravilom pro nat

[AzureZ]

Код: Выделить всё

nat_services="25,110"

на

Код: Выделить всё

nat_services="{25,110}"

[Spook1680]

Код: Выделить всё

nat_services="25,110"

на

Код: Выделить всё

nat_services="{25,110}"

оибка исчезла спасибо.
но где еще можно рыть.
Почему не дает почтовику microsoft outlook выходить в почту.(
в настройка компа пользователя указал. адрес шлюзи и ДНС прокси сервера 192.168.21.1
Или в этом случае надо смотреть squid.conf/
Пробовал файрвол переключать в состояние open
без изменений.

[rnd]

попробуйте днс провайдера прописать, или контроллера домена (если есть конечно)

[Spook1680]

попробуйте днс провайдера прописать, или контроллера домена (если есть конечно)

это не помогает. И потом я прописал в pf.conf что бы шустрый и умный пользователь не пронюхал и не прописывал днс и вобход прокси через нат кочал.

[Shuba]

попробуйте днс провайдера прописать, или контроллера домена (если есть конечно)

это не помогает. И потом я прописал в pf.conf что бы шустрый и умный пользователь не пронюхал и не прописывал днс и вобход прокси через нат кочал.

Вообщем разберись толком как у тебя работает сеть и выход в интернет. Можно юзать проксю для серфинга, а нат-ить только определённые сервисы (я на одной конторе делаю нат для 25, 53, 110, icmp? ну и какие-то порты для банк-клиентов). Затем читай доки до просветления и только после этого всё настраивай.

[FreeOwl]

rc.conf

Код: Выделить всё

pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
pflog_program="/sbin/pflogd"
pflog_flags=""
pflogd_enable="YES"

pf.conf

Код: Выделить всё

# внутренний интерфейсlocal eth
int_if="rl0"
# внешний интерфейс
ext_if="dc0"
# LAN
lan_net="{192.168.111.0/24}"

NoRouteIPs = "{ 127.0.0.0/8  }"
set block-policy drop
set skip on lo0

## ftp:Полный доступ к ФТП для всей LAN
nat pass on $ext_if from $lan_net to any port 21 -> $ext_if
nat pass on $ext_if from $lan_net to any port {30000:30050}  -> $ext_if
nat pass on $ext_if from $int_if to any port 21 -> $ext_if

# Открытые порты 25 и 110 для таблицы mail
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if
#v2
nat pass on $ext_if from $int_if to any port 25 -> $ext_if
nat pass on $ext_if from $int_if to any port 110 -> $ext_if
#v3 
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if

Outlook не работает. почему?
помогите пожалуйста!!!

[Shuba]

Это выкинь из rc.conf

Код: Выделить всё

pf_program="/sbin/pfctl"
pf_flags=""
pflog_program="/sbin/pflogd"
pflog_flags=""
pflogd_enable="YES"

Правила вроде как верны, только кой-чего дублируется, и я лично пишу просто

Код: Выделить всё

nat on $ext_if from $lan_net to any port 21 -> $ext_if

без дерективы pass. А ДНС у тебя пашет???

[FreeOwl]

Это выкинь из rc.conf

Код: Выделить всё

pf_program="/sbin/pfctl"
pf_flags=""
pflog_program="/sbin/pflogd"
pflog_flags=""
pflogd_enable="YES"

Правила вроде как верны, только кой-чего дублируется, и я лично пишу просто

Код: Выделить всё

nat on $ext_if from $lan_net to any port 21 -> $ext_if

без дерективы pass. А ДНС у тебя пашет???

сервер SAMS.
DNS прописал на компах ручками.

[Shuba]

сервер SAMS.
DNS прописал на компах ручками.

А работает он нормально, имена резолвит??? Кроме того, какую всё-таки ошибку выдаёт почтовая прога???