PF и block in
Добавлено: 2010-03-15 19:26:48
Товарищи помогите разобраться с pf-ом
Есть vpn сервер и подсеть 192.168.5.0/24
Эта подсеть натится на pppoe соединение.
Без block in все работает а с ним трафик в нет не идет.
Из конфига убрал правила доступа к сервисам самого сервера.
Есть vpn сервер и подсеть 192.168.5.0/24
Эта подсеть натится на pppoe соединение.
Без block in все работает а с ним трафик в нет не идет.
Из конфига убрал правила доступа к сервисам самого сервера.
Код: Выделить всё
#1 макросы
#2 таблицы
#3 опции
#4 параметры нормализации
#5 qltq
#6 правила трансляции
#7 правила фильтра
###############
#макросы #
###############
#локалка
local_if="rl2"
local_ip="192.168.0.1"
local_net="192.168.0.1/24"
#локальный провайдер
prov_if="rl1"
prov_ip="10.10.10.12"
#byfly интернет
byfly_if="ng0"
################
#таблицы #
################
table <local_prov> { \
10.0.0.1/8 \
}
#################
#опции #
#################
set loginterface none
set optimization normal
set block-policy drop
set skip on lo0
set skip on $local_if
#######################
#опции нормализации #
#######################
#scrub in all
#нат vpn сеть в инет
nat on $byfly_if from 192.168.5.1/24 to any -> ($byfly_if)
#nat с локалки в сеть локального провайдера
nat on $prov_if from 192.168.0.1/24 to <local_prov> -> $prov_ip
###################
#правила фильтра #
###################
#блокировали весь входящий трафик
#block in
# block the ssh bruteforce bastards
block drop in quick from <ssh-bruteforce>
pass out keep state
#vpn mpd 1723 and gre
pass in on { $local_if, $prov_if } proto tcp from { $local_net, <local_prov> } \
to { $local_ip, $prov_ip } port = 1723 keep state
pass proto gre from any to any
#трафик от сервера
pass out from { $local_ip, $prov_ip } to any keep state
pass out from (byfly_if) to any keep state
pass out on $prov_if from 192.168.0.1/24 to <local_prov> keep state
pass out on $byfly_if from 192.168.5.1/24 to any keep state