Страница 1 из 1

PF и block in

Добавлено: 2010-03-15 19:26:48
tyler56
Товарищи помогите разобраться с pf-ом
Есть vpn сервер и подсеть 192.168.5.0/24
Эта подсеть натится на pppoe соединение.
Без block in все работает а с ним трафик в нет не идет.
Из конфига убрал правила доступа к сервисам самого сервера.

Код: Выделить всё

#1 макросы
#2 таблицы
#3 опции
#4 параметры нормализации
#5 qltq
#6 правила трансляции
#7 правила фильтра

###############
#макросы      #
###############

#локалка
local_if="rl2"
local_ip="192.168.0.1"
local_net="192.168.0.1/24"

#локальный провайдер
prov_if="rl1"
prov_ip="10.10.10.12"

#byfly интернет
byfly_if="ng0"

################
#таблицы       #
################

table <local_prov> {        \
10.0.0.1/8              \
}

#################
#опции          #
#################
set loginterface none
set optimization normal
set block-policy drop
set skip on lo0
set skip on $local_if
#######################
#опции нормализации   #
#######################
#scrub in all

#нат  vpn сеть в инет
nat on $byfly_if from 192.168.5.1/24 to any -> ($byfly_if)

#nat с локалки в сеть локального провайдера
nat on $prov_if from 192.168.0.1/24 to <local_prov> -> $prov_ip

###################
#правила фильтра  #
###################

#блокировали весь входящий трафик
#block in

# block the ssh bruteforce bastards
block drop in quick from <ssh-bruteforce>

pass out keep state

#vpn mpd 1723 and gre
pass in on { $local_if, $prov_if } proto tcp from { $local_net, <local_prov> } \
to { $local_ip, $prov_ip } port = 1723 keep state

pass proto gre from any to any

#трафик от сервера
pass out from { $local_ip, $prov_ip } to any keep state
pass out from (byfly_if) to any keep state

pass out on $prov_if from 192.168.0.1/24 to <local_prov> keep state
pass out on $byfly_if from 192.168.5.1/24 to any keep state


Re: PF и block in

Добавлено: 2010-03-15 20:37:15
_Гагарин
192.168.0.1/24
192.168.5.1/24
это че за херня?

а вообще рисуй картинку, так быстрее помошников найдешь

Re: PF и block in

Добавлено: 2010-03-16 11:08:48
Shuba
_Гагарин писал(а):
192.168.0.1/24
192.168.5.1/24
это че за херня?

а вообще рисуй картинку, так быстрее помошников найдешь
Присоеденяюсь, пропиши для начала 192.168.5/25 или 192.168.0.0/24

Re: PF и block in

Добавлено: 2010-03-16 19:31:17
tyler56
Изображение
192.168.0.1/24 -домашняя локалка она натится в локалку провайдера
192.168.5.1/24 - впн подсеть она натится в инет на интерфейсе ng0
10.0.0.1/8 - сеть локального провайдера

Re: PF и block in

Добавлено: 2010-03-16 20:32:34
_Менделеев
не вижу картынку

Re: PF и block in

Добавлено: 2010-03-16 20:54:32
tyler56
перезалил на другой хостинг.

Re: PF и block in

Добавлено: 2010-03-16 21:57:48
_Менделеев
к роутеру (на нем впн сервер стоит) из домашней локалки конекается комп
ему выдается адрес из подсети 192.168.5.0/24
на роутере поднимается ng интерфейс
где он на картинке и в правилах?

Re: PF и block in

Добавлено: 2010-03-16 22:33:59
tyler56
#нат vpn сеть в инет
nat on $byfly_if from 192.168.5.1/24 to any -> ($byfly_if)


#разрешаем этой сети доступ куда угодно
pass out on $byfly_if from 192.168.5.1/24 to any keep state

Получается что нат работает т.к. без block in трафик идет.

Re: PF и block in

Добавлено: 2010-03-16 22:35:46
_Гагарин
пипец, как все запутано.

на роутере интернет откуда появляется?

Re: PF и block in

Добавлено: 2010-03-16 22:43:16
tyler56
на роутере инет с ASDL модема подымается mpd клиентом на ng0

Re: PF и block in

Добавлено: 2010-03-16 22:53:12
tyler56
Даже если не указывать интерфейс

Код: Выделить всё

pass out from 192.168.5.1/24 to any keep state
то все равно при block in трафик не идет

Re: PF и block in

Добавлено: 2010-03-16 22:57:14
_Сатана
ок. ng0 делает интернет на роутере
каким образом происходит появление подсети 192.168.5.0/24 в домашней локалке?
предполагаю что из домашней локалки 192.168.0.0/24 конекаются к впн серверу на роутере, если так, то где еще один интерфейм ng?

и не надо бесить меня вот такими надписям:"192.168.5.1/24"

Re: PF и block in

Добавлено: 2010-03-16 23:05:43
tyler56
_Сатана писал(а):ок. ng0 делает интернет на роутере
каким образом происходит появление подсети 192.168.5.0/24 в домашней локалке?
предполагаю что из домашней локалки 192.168.0.0/24 конекаются к впн серверу на роутере, если так, то где еще один интерфейм ng?

и не надо бесить меня вот такими надписям:"192.168.5.1/24"
Подсеть 192.168.5.0/24 образует mpd. Пользователи с моей локалки и локалки провайдера могут подключаться к mpd.
вы правы собака тут и зарыта.
Нужно добавлять для каждого поднятого интерефеса примерно такое правило

Код: Выделить всё

pass quick on ngX all
А что смущает в 192.168.5.1/24 это теже яйца 192.168.5.0/24
Спасибо за помощь. Как всегда решение простое а голову можно сломать)

Re: PF и block in

Добавлено: 2010-03-16 23:16:08
_Попов
так че теперь пашет что ли?
tyler56 писал(а):...А что смущает в 192.168.5.1/24 это теже яйца 192.168.5.0/24
мне ажется это яйца раные
еще мне кажется правильнее было бы написать 192.168.5/24, но например сквид такое не поймет, не знаю правда как он воспримет 192.168.5.1/24, а вот 192.168.5.0/24 точно всасет.

не буду говорить авторитетно, просто принято если уж не писать 192.168.5/24, то писать 192.168.5.0/24
разница в том, что
192.168.5.0/24 это [АдресСети]/[Маска]
когда
192.168.5.1/24 это [ХостВподсети192.168.5.0/24]/[Маска]
и это большая разница...

Re: PF и block in

Добавлено: 2010-03-17 7:40:45
tyler56
Да получилось
Ножно добовлять через якорь вот такие правила

Код: Выделить всё

pass quick on ngX all
тут похожая тема http://www.opennet.ru:8101/openforum/vs ... 79119.html