Squid(), pf, block all

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
serpent
проходил мимо
Сообщения: 1
Зарегистрирован: 2012-11-08 19:09:55

Squid(), pf, block all

Непрочитанное сообщение serpent » 2012-11-08 19:13:09

Приветствую!
Есть хост с freebsd + squid + pf

Задача: раздавать инет пользователям посредством сквида + nat'ить адреса некоторых пользователей, посредством pf + предоставлять пользователям извне различные сервисы

Внизу рабочий конфиг, все работает, но не могу понять что необходимо добавить к правилу:

Код: Выделить всё

block in log on $ext_if all
если прописываю данную блокировку и добавляю правило

Код: Выделить всё

pass out on $ext_if flags S/SA synproxy state 
то сквид перестает отвечать - т.е. просто waiting и все
Авторизация в сквиде идет ntlm с использованием winbindd на основе членства пользователей в группах AD

access.log для не работающего block:

Код: Выделить всё

1352388385.603  80241 192.168.0.3 TCP_MISS/200 37182 GET http://oper.ru/ admin DIRECT/84.204.58.26 text/html
access.log для работающего block:

Код: Выделить всё

1352388090.549      0 192.168.0.3 TCP_DENIED/407 1716 GET http://yandex.ru/yandsearch? - NONE/- text/html
Как я понимаю, перестает идти авторизация - а из-за чего - в этом вопрос, как переписать блокировки?


FreeBSD dmz 9.0-RELEASE FreeBSD 9.0-RELEASE #0:

##pf.conf

Код: Выделить всё

ext_if = "fxp0"  #внешний интерфейс
int_if = "em0" #внутренний интерфейс(192.168.0.1), в локальную сеть 192.168.0.0/24


table <FullAccess> { 192.168.0.5, 192.168.0.6, 192.168.0.20}
       TcpServices = "{ 25, 110, 3389, 5190 }"
         ServerRDS = 192.168.0.3
          Server1C = 192.168.0.81
      ServerGarant = 192.168.0.5
          ServerDC = 192.168.0.2


set block-policy return
set skip on lo0
scrub in all

# mail for all; DNS for dc01; nat for users

nat on $ext_if from $int_if:network to any port $TcpServices -> $ext_if
nat on $ext_if from $ServerDC to any port 53 -> $ext_if
nat on $ext_if from <FullAccess> to any -> $ext_if

# Services
rdr on $ext_if proto tcp from any to $ext_if port 5667 -> $ServerRDS port 3389
rdr on $ext_if proto tcp from any to $ext_if port 443 -> $ServerRDS port 443
rdr on $ext_if inet proto tcp from any to $ext_if port 5635 -> $Server1C port 3389
rdr on  $ext_if proto tcp from any to $ext_if port 80 -> $ServerGarant

####block in log on $ext_if all

antispoof quick for $int_if inet

pass in log on $ext_if proto tcp from any to $ServerRDS port 443 flags S/SA synproxy state
pass in log on $ext_if proto tcp from any to $ServerRDS port 3389 flags S/SA synproxy state
pass in log on $ext_if proto tcp from any to $Server1C port 3389 flags S/SA synproxy state
pass in log on $ext_if proto tcp from any to $ServerGarant port 80 flags S/SA synproxy state
pass in log on $ext_if proto tcp from any to $ext_if port {ftp, ftp-data} flags S/SA synproxy state
pass in log on $ext_if proto tcp from any to $ext_if port 4455 flags S/SA keep state

#pass out on $ext_if flags S/SA synproxy state

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35117
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid(), pf, block all

Непрочитанное сообщение Alex Keda » 2013-05-21 8:17:37

юзайте ipfw - файрволл для людей =)
Убей их всех! Бог потом рассортирует...