Готовится статья "PF : Конфиг для офисов"

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Va_
рядовой
Сообщения: 36
Зарегистрирован: 2008-10-07 14:44:36

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Va_ » 2009-12-01 8:46:54

как будут работать очереди если:

Код: Выделить всё

UserHigh="{ 192.168.0.101, 192.168.102, 192.168.0.103 }"	
UserLow="{ 192.168.0.201, 192.168.202 }"
то есть несколько айпи в одну очередь. Эффект разделения канала в такой "группе" действовать не будет- это ясно. А не повлияет ли это на очереди другой группы?

Хочу сделать прозрачный Squid для www. Чтобы не надо было настраивать бесконечное количество браузеров.
Не знаю как быть с остальными программами (ася, почтовики, клиент-банки). Либо их всех пускать через прокси (но смысла в этом я не вижу) и опять же бегать настраивать. Либо открыть в НАТе определённые порты (5190, 25, ...). По -моему так лучше. Правильно я понял?

Автору огромное спасибо за конфиг, готовый к эксплуатаци!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Шаман
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Шаман » 2010-04-01 17:51:17

Чей IP 10.0.14.224 надоели уже долбятся и долбятся, ну хватит уже а тя уже буду стучатся! :evil:

Аватара пользователя
konstantine
ефрейтор
Сообщения: 55
Зарегистрирован: 2009-03-14 11:51:17

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение konstantine » 2010-04-01 18:05:58

ребят щас вот с новым серавком как разберусь выложу свой конфиг который 2мбитный канал шейпит работает уже 4ый месц с нового года никто не жаловался :)

Кстати у каво нить был глюк с дорогими supermicro матерями что не возможно загрузиться ни с флешки ни с CD-ROM`ов ?????? А то третий день бьюсь уже с саппортом их на ломанном английском переписываюсь пока ни чё дельного не посоветовали :(
@lissyara: Решений "искаропки" под конкретную задачу - катастрофически мало.
Любое боле-мене серьёзное решение - это кручение коробки под себя.

RBR
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-05-11 10:24:47

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение RBR » 2010-05-11 10:37:42

Приветствую всех. Народ помогите настроить конфиг pf , чтобы из сетки определенный комп мог устанавливать впн подключения и банк клиент мог подключаться.
Настроил все по статье "Установка Прокси сервера SQUID с веб мордой SAMS и редиректора Rejik, c авторизацией по NCSA Автор: Cancer."
Взял за основу этот конфиг и переделал под себя

########################################################
# Конфиг Firewall PF #
########################################################

# Перва сетевая карта Инет (192.168.0.2) подключение через адсл модем 192,168,0,1
int_if="em1"

# Вторая сетевая карта сеть (192.168.1.100)
ext_if="em0"

# LAN (локальная сеть)
lan_net="{ 192.168.0.0/24 }"

# Таблица для доступа к Внешним MTA - это пока не нужно
mail="{ ***.***.***.*** }"

# Таблица для полного доступа в МИР для серверов в обход проксе - комп которому нужен доступ банк клиен и впн
SERVERS_table="{ 192.168.0.56, }"

NoRouteIPs = "{ 127.0.0.0/8 }"

set block-policy drop

set skip on lo0
#scrub in all

## ftp masterhost.ru Полный доступ к ФТП на мастерхосте для всей LAN - это не нужно
nat pass on $ext_if from $lan_net to 217.16.16.223 port 21 -> $ext_if
nat pass on $ext_if from $lan_net to 217.16.16.223 port >1023 -> $ext_if

# Открытые порты 25 и 110 для таблицы mail
nat pass on $ext_if from $mail to any port 25 -> $ext_if
nat pass on $ext_if from $mail to any port 110 -> $ext_if

# SBiS (Отчетность в налоговую)+Клиент-банк РСБ - пишу этот же комп сюда
nat pass on $ext_if from 192.168.0.56 to 212.123.145.235 -> $ext_if

# VPN для клиент банка - сюда тоже писал, не работает
nat pass on $ext_if from 192.168.0.56 to 212.123.145.235 -> $ext_if


# Серверам {1,2,3,4,5,6,7} разрешено ходить в ИНЕТ в обход проксе
nat pass on $ext_if from $SERVERS_table to any -> $ext_if

pass in quick on $int_if from $lan_net to any
pass out quick on $int_if from self to $lan_net

pass out quick on $ext_if from self to any keep state
block in on $ext_if from any to any
#############################################################

Помогите настроить

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35461
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Alex Keda » 2010-05-11 23:27:54

сообщения нормально оформляйте
Убей их всех! Бог потом рассортирует...

konst12321
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение konst12321 » 2010-05-12 20:46:42

Чё за ???

Код: Выделить всё

nat pass on $ext_if from $lan_net to 217.16.16.223 port 21 -> $ext_if
nat pass on $ext_if from $lan_net to 217.16.16.223 port >1023  -> $ext_if
канеш так можно но нахера ?? Разве нельзя тупо нат повесить на внешнем интерфейсе, а потом уже дальше (точнее ниже) правилами разрешать/запрещать доступ пакетам идущим через внутренний интерфейс ?? Или я мож чёт пропустил и ща так модно ?
Последний раз редактировалось Alex Keda 2010-05-13 21:28:57, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

Freebsdik
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Freebsdik » 2010-05-28 10:38:14

Настраивал все примерно по статье, возник такой вопрос в строчках

Код: Выделить всё

pass in on $int_if proto tcp from $int_if:network to $int_if port ssh synproxy state (max-src-conn-rate 5/300, overload <BRUTEFORCERS> flush global)
pass in on $ext_if proto tcp from any to $ext_if port ssh synproxy state (max-src-conn-rate 5/300, overload <BRUTEFORCERS> flush global) 
если ставлю

Код: Выделить всё

synproxy state
соединение не проходит вижу только

Код: Выделить всё

00:00:00.134203 IP 22.33.59.22.63178 > 44.55.56.22: Flags [.], ack 4526, win 65535, length 0
00:02:19.951293 IP 22.33.59.22.61873 > 44.55.56.22: Flags [S], seq 3952568365, win 65535, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.150959 IP 22.33.59.22.61873 > 44.55.56.22: Flags [.], ack 3291602461, win 65535, length 0
если же ставлю

Код: Выделить всё

keep state
все нормально конектиться.

Гость
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Гость » 2010-06-19 23:23:38

Цитата из статьи
# 1. Можем зашейпить его с помощью squid delay pools
# 2. PF не сможет определить принадлежность трафика к
Вопрос следующий, рассмотрим ситуацию в рамках домашней сети, т.е. в наличии всякого рода torrent клиенты, соответственно будем использовать pf для шейпинга, вопрос что делать в такой ситуации, отказываться от squid? Настраивать squid delay pools? Тогда пользователь получает полосу PF + полосу от squid на http соединения? Как быть в данной ситуации?

djan
рядовой
Сообщения: 20
Зарегистрирован: 2009-06-18 11:23:59

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение djan » 2010-07-08 2:37:18

кусок моего конфига из pf.conf

Код: Выделить всё

################ Tables ####################################
table <BRUTEFORCERS> persist

...
# начало раздело блоков/пассов
block all


block in quick on $ext_if from <BRUTEFORCERS>

# ловим тех, которые хотят все нам спортть
pass in on $ext_if inet proto tcp \
        from any to any port ssh \
        flags S/SAFR synproxy state \
        (max 60,  source-track rule, max-src-conn 1, max-src-nodes 60,  max-src-conn-rate 1/60, overload <BRUTEFORCERS> flush global)
дожен делать следующее - при попытке соединения на порт 22 снаружи отрабатывает синпрокси и устанавливает соединение сначала на внешнем инетерфейсе, дальше соединение дожно сброситься и IP, с которого подключались попасть в табицу <BRUTEFORCERS>. Но в итоге подключиться на 22 порт получается и IP подключившегося в нужную мне таблицу не заносится. Подскажите, как реализовать нужный мне вариант ?

SvS
проходил мимо
Сообщения: 1
Зарегистрирован: 2010-10-05 9:52:22

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение SvS » 2010-10-05 16:21:00

В статье мысль начата, но не раскрыта :(
PS: долго не мог понять почему у меня на шлюзе, на котором кроме раздачи трафика в локалку крутится rtorrent (для rtorrent выделена отдельная очередь) торрентовский трафик съедал всю полосу download, хотя имел более низкий приоритет по сравнению с остальными очередями. Потом дошло: его download трафик не проходит через внутренний интефейс и соответсвенно не может быть зашейплен. Upload пожалуйста, download нет. Хотя теоретически можно было бы для rtorrenta завести отдельный компьютер и расположить его внутри локальной сети, "за фаерволом".
А какое же решение, кроме выноса rtorrent на другую машину?
Как ограничивать торрент, крутящийся на шлюзе? Хочется дать ему максимум, но сначала обслужить пользователей внутренней сети и веб-сервер на шлюзе

Аватара пользователя
BlackCat
прапорщик
Сообщения: 469
Зарегистрирован: 2007-10-16 22:40:42

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение BlackCat » 2010-10-06 20:05:56

SvS писал(а):Как ограничивать торрент, крутящийся на шлюзе? Хочется дать ему максимум, но сначала обслужить пользователей внутренней сети и веб-сервер на шлюзе
Практически никак - трафик уже пришёл и держать его в очереди перед отправкой приложению странная затея.
Если сам rtorrent умеет ограничивать свои запросы (меньше запрашивает данных и соответственно меньше потребляет полосу), то вам повезло.

Elecs
проходил мимо

Re: Готовится статья "PF : Конфиг для офисов"

Непрочитанное сообщение Elecs » 2011-08-31 6:35:23

Вот как написано в статье.
boss="192.168.0.168" # IP адрес компьютера босса
buh="192.168.0.100" # IP адрес компьютера бухгалтера
admin="192.168.0.25" # IP адрес компьютера администратора
WinPeak="192.168.0.60" # IP адрес компьютера менеджера
Меня интересует вопрос а если мне надо сделать так же только ограничить определеные IP. Подскажите как правельней написать.
Так boss={ 192.168.0.168, 192.168.0.167, 192.168.0.169, 192.168.0.170 } # IP адрес компьютера босса
или boss={ 192.168.0.168 - 192.168.0.170 }# IP адрес компьютера босса
Прошу сильно непинать :) с pf как и с фряхой не работал ни разу.