forum.lissyara.su

С сервака порты работают, всё пингуется. А с пользовательских машин интернет не работает, но почта и мэйл агент работает.

int_if="bce1"
ext_if="bce0"
proxy_if="lo0"
proxy_port="3128"
buh="192.168.10.54"
mail="192.168.10.2"
allowed_icmp_types="{ echoreq, unreach }"

set block-policy return
set skip on lo0
set loginterface bce0
set loginterface bce1
set limit { states 20000 frags 20000 }
set state-policy if-bound
set timeout { frag 10, tcp.established 3600 }

scrub in all

nat on $ext_if proto tcp from $int_if:network to any port { 80, 443 } -> $ext_if
nat on $ext_if proto tcp from $mail to any port 25 -> $ext_if
nat on $ext_if proto udp from $mail to any port 53 -> $ext_if

rdr on $ext_if proto tcp from any to $ext_if port 25 -> $mail port 25

block out

antispoof quick for { lo0, $int_if, $ext_if }

block drop in quick on $int_if from !$int_if:network to any
block drop in quick on $int_if proto tcp from !$mail to any port 25

block drop quick from <BRUTEFORCERS>

pass inet proto icmp all icmp-type $allowed_icmp_types

#ssh
pass in on $int_if proto tcp from $int_if:network to $int_if port 443 keep state
pass in on $ext_if proto tcp from any to $ext_if port 443 keep state

# outside users -> me 80,53 (dns && www)
pass in on $ext_if proto tcp from any to $ext_if port { 53, 80} keep state
pass in on $ext_if proto udp from any to $ext_if port 53 keep state

# inside users -> outside 80,443 (ala Proxy)
pass in on $int_if proto tcp from $int_if:network to any port { 80, 443 } keep state

# outside mail servers -> me 25
pass in on $ext_if proto tcp from any to $ext_if port 25 keep state

# inside mail server -> outside 25
pass in on $int_if proto tcp from $mail to any port 25 keep state
pass in on $int_if proto tcp from $mail to any port 53 keep state

# statefull rules
pass out on $ext_if from $ext_if to any keep state
pass out on $int_if from $int_if to any keep state

хм а инет то тянет через 80? или простонет пинга ?
ето просто пример (копипаст,без заточки на случай)

zeus4all писал(а):хм а инет то тянет через 80? или простонет пинга ?

Ни инета не пинга нету на пользовательских, на серваке всё работает

ну попробуй вогнать скобки для начала, а потом не знаю не поможет то наверное надо бы посмотреть логи, если я не ошибаюсь, а я могу , то это дело у Вас прописано.
есть еще старый пионерский способ, и меня как пионера выручало порой,просто закоментить все правила и просто начать внедрять их поочередно парами "можно-нельзя", пока не дойдешь до затыка.
на уровне шизофрении

ya писал(а): set loginterface bce0
set loginterface bce1

во первых loginterface мона тока с одного интерфейса собирать
и откуда взялся

ya писал(а):block drop quick from <BRUTEFORCERS>

и чё показывает "pfctl -sr" и "pfctl -nf /etc/pf.conf"?

а с днс не может быть проблемы? хотя если почта ходит то по идеи днс работает
вот простой пример, глянь здесь