forum.lissyara.su

Код: Выделить всё

rdr proto $protogroup from any to any port $rdr_port -> $localip
nat on $int_1 proto $protogroup from $localip to any port $rdr_port -> $int_1
nat on $int_2 proto $protogroup from $localip to any port $rdr_port -> $int_2

Код: Выделить всё

rdr on $int_ext2 inet proto $protogroup to $int_ext2 port 443 tag Chanell2 -> \
$ip port 443
rdr on $int_ext2 inet proto $protogroup to $int_ext2 port 9091 tag Chanell2 -> \
$ip port 9091

rdr on $int_ext1 inet proto $protogroup to $int_ext1 port 443 tag Chanell1 -> \
$ip port 443
rdr on $int_ext1 inet proto $protogroup to $int_ext1 port 9091 tag Chanell1 -> \
$ip port 9091


## отвечаем через тот же интерфейс, через который пришел пакет.
## по сути меняем для помеченный пакетов route.
pass in on $int_ext1 reply-to ($int_ext1 $ext_gateway1) inet proto $protogroup \
    tagged Chanell1 keep state
pass in on $int_ext2 reply-to ($int_ext2 $ext_gateway2) inet proto $protogroup \
    tagged Chanell2 keep state
## Разрешаем все исходящие соединения на данном интерфейсе
pass out on $int_ext1 keep state
pass out on $int_ext2 keep state

Код: Выделить всё

int_volgalink = "fxp1"
int_local = "re0"
int_utk = "fxp0"
myip = "{------}"
myinetip = "{--------- ----------}"
nonblockport = "{443 9091 80}"
rdr_port = "{443 9091}"
ibank2ip="192.168.2.2"
protogroup = "{ tcp udp }"

ext_gateway1="--------"
ext_gateway2="--------"

set skip on lo0
set loginterface $int_volgalink
set loginterface $int_utk

set state-policy if-bound
scrub in all

#rdr on $int_coltel proto $protogroup from any to $rdr_ip1 port $rdr_port1 -> $rdr_ip1 port 45002
#pass quick on $int_coltel
#rdr on $int_coltel proto $protogroup from any to any port $rdr_port2 -> $rdr_ip2
#rdr on tun0 proto $protogroup from any to any port $rdr_port1 -> $rdr_ip1


#rdr pass proto $protogroup from any to any port $rdr_port -> $ibank2ip 
#nat on $int_utk proto $protogroup from $ibank2ip to any  -> $int_utk 



rdr on $int_utk inet proto $protogroup to $int_utk port 443 tag Chanell2 -> \
$ibank2ip port 443
rdr on $int_utk inet proto $protogroup to $int_utk port 9091 tag Chanell2 -> \
$ibank2ip port 9091

rdr on $int_volgalink inet proto $protogroup to $int_volgalink port 443 tag Chanell1 -> \
$ibank2ip port 443
rdr on $int_volgalink inet proto $protogroup to $int_volgalink port 9091 tag Chanell1 -> \
$ibank2ip port 9091


#rdr pass proto $protogroup from any to any port $rdr_port -> $ibank2ip
#nat on $int_local proto $protogroup from $int_volgalink to $ibank2ip port $rdr_port -> $int_local
#nat on $int_local proto $protogroup from $int_utk to $ibank2ip port $rdr_port -> $int_local

#nat on $int_utk proto $protogroup from $ibank2ip to any port $rdr_port -> $int_utk
#nat on $int_volgalink proto $protogroup from $ibank2ip to any port $rdr_port -> $int_volgalink

#nat on $int_local proto $protogroup from $ibank2ip to any port $rdr_port -> $int_local

#rdr-anchor miniupnpd
#anchor miniupnpd

antispoof for $int_volgalink inet
antispoof for $int_local inet
antispoof for $int_utk inet

block quick inet6 all
pass quick on $int_local from any to any

pass in on $int_volgalink reply-to ($int_volgalink $ext_gateway1) inet proto $protogroup \
    tagged Chanell1 keep state
pass in on $int_utk reply-to ($int_utk $ext_gateway2) inet proto $protogroup \
    tagged Chanell2 keep state

pass out on $int_volgalink keep state
pass out on $int_utk keep state

pass proto tcp from any to any \
    port { smtp, pop3 } keep state
pass proto tcp from any to any port 53
pass quick from any to any
#pass quick on $int_volgalink  proto $protogroup from any to $myinetip port $nonblockport
#pass quick on $int_utk  proto $protogroup from any to $myinetip port $nonblockport
#pass quick on $int_volgalink proto $protogroup from $myinetip to any
#pass quick on $int_utk proto $protogroup from $myinetip to any
#pass quick on $int_volgalink  proto icmp from any to any
#pass quick on $int_utk  proto icmp from any to any
#block all
#pass all

Код: Выделить всё

set state-policy
* Определяет манеру работы PF с таблицей состояний (см. Keeping State). if-bound - правила привязаны к интерфейсу, на котором открыты. Если трафик соответствует записи, но пересекает интерфейс указанный в ней, то соответствия не произойдет. Тогда пакет должен соответствовать фильтрующему правилу или скинут/отброшен.
* group-bound - также, как и с параметром if-bound, за исключением того, что принимаются интерфейсы одной грунны - например все ppp интерфейсы.
* floating - записи могут соответствовать пакету на любом интерфейсе. Пока пакет соответствует записи не имеет значения, через какой интерфейс он проходит и он будет пропущен. Является значением по умолчанию.

Код: Выделить всё

Определяет флаги, которые должны быть установлены в заголовке TCP при использовании proto tcp. Флаги определяются как flags check/mask. Например: flags S/SA - PF будет смотреть на S и A (SYN и ACK) флаги и соответствовать правилу, если установлен флаг SYN.

Код: Выделить всё

# Macros: define common values, so they can be referenced and changed easily.
ext_if="bge1"
int_if="bge0"
vpn_if="ng0"
# EDIT it
internal_addr="192.168.34.1"
# EDIT it
external_addr="..."
# EDIT it
vpn_addr="192.168.200.162"

# наша сеть
# EDIT it
table <corp_nets> { 192.168.34.0/24 }

table <bad_nets> { 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.0.2.0/24, 224.0.0.0/4, 240.0.0.0/4}


admins_port=" { 7000, 3306, 5005, 5006, 30}"

# админские компы
table <admins_ip> { 192.168.92.80, 192.168.92.98 }


# типы icmp, которые пропускаем
icmp_types = "{echoreq, echorep, unreach code needfrag}"

set block-policy drop

# откуда берем логи
# set loginterface $ext_if


# Normalization: reassemble fragments and resolve or reduce traffic
scrub in all

#-----------NAT RULES-----------------------------------------
nat on $ext_if inet proto {tcp, udp} from <corp_nets> to !<corp_nets> port {25, 53, 110} -> $external_addr
nat on $vpn_if inet proto {tcp, udp} from <corp_nets> to !<corp_nets> port {900, 901} -> $vpn_addr


# SBER
nat on $ext_if inet proto {tcp, udp} from <corp_nets> to any port 87 -> $external_addr
# SDM
nat on $ext_if inet proto {tcp, udp} from <corp_nets> to any port 1024 -> $external_addr

# FTP
nat on $ext_if inet proto {tcp, udp} from <corp_nets> to ... port {2102, 2101} -> $external_addr

#RDP
rdr proto {tcp, udp} from {...} to $external_addr port rdp -> 192.168.34.33 port rdp

#----------BLOCKING RULES----------------------------------------
# антиспуфинг! 
antispoof for {$ext_if, $int_if}
block log-all all
pass on lo0 all
.................

Код: Выделить всё

rdr on $int_utk inet proto $protogroup to $int_utk port 443 tag Chanell2 -> \
$ibank2ip port 443
rdr on $int_utk inet proto $protogroup to $int_utk port 9091 tag Chanell2 -> \
$ibank2ip port 9091
nat on $int_utk proto $protogroup from $ibank2ip to any port $rdr_port -> $int_utk

rdr on $int_volgalink inet proto $protogroup to $int_volgalink port 443 tag Chanell1 -> \
$ibank2ip port 443
rdr on $int_volgalink inet proto $protogroup to $int_volgalink port 9091 tag Chanell1 -> \
$ibank2ip port 9091
nat on $int_volgalink proto $protogroup from $ibank2ip to any port $rdr_port -> $int_volgalink

antispoof for $int_volgalink inet
antispoof for $int_local inet
antispoof for $int_utk inet

block quick inet6 all
block all
pass quick on $int_local from any to any

## отвечаем через тот же интерфейс, через который пришел пакет.
## по сути меняем для помеченный пакетов route.
pass in on $int_volgalink reply-to ($int_volgalink $ext_gateway1) inet proto $protogroup \
    tagged Chanell1  flags S/SA keep state
pass in on $int_utk reply-to ($int_utk $ext_gateway2) inet proto $protogroup \
    tagged Chanell2 flags S/SA keep state
## Разрешаем все исходящие соединения на данном интерфейсе
pass out on $int_volgalink flags S/SA keep state
pass out on $int_utk flags S/SA keep state

Код: Выделить всё

nat on $int_volgalink proto $protogroup from $ibank2ip to any port $rdr_port -> $int_volgalink

Код: Выделить всё

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \
   $server 
no nat on $int_if proto tcp from $int_if to $int_net
nat on $int_if proto tcp from $int_net to $server port 80 -> \
   $int_if
Инициализационный пакет от клиента будет снова преобразован, когда будет пробрасываться обратно через внутренний интерфейс, замена клиентского исходного адреса на внутренний адрес брандмауэра. Внутренний сервер будет отвечать обратно брандмауэру, который может сделать обратно NAT и RDR преобразования, когда пробрасывается локальному клиенту. Эта конструкция сложный комплекс, потому что он создаёт два отдельных стейта для каждого отражённого соединения. Необходимо принять меры для предотвращения работы NAT с другим трафиком, например соединения из внешних хостов (через другие перенаправления) или трафик самого брандмауэра. Обратите внимание, что rdr правило показанное выше заставляет TCP/IP стэк просматривать пакеты прибывающие на внутренний интерфейс с адресом назначения во внутреннию сеть.