forum.lissyara.su

Добавлено: **2012-10-25 9:21:55**

Сам шлюз не резолвит имена, клиенты локальные натовские - нормально. Что не пускает? Не могу понять...

# cat /etc/pf.conf
ext_if="em0"
int_if="em1"
lan="10.0.1.0/24"
provider="77.232.0.0/16"
good_tcp = "{ ssh, smtp, domain, pop3, auth, pop3s }"
good_udp = "{ domain }"
table <fullnats> file "/etc/fullnats.conf"

set skip on lo0
scrub in all

nat on $ext_if from $lan to any -> ($ext_if)

block in all

pass in quick on $int_if from <fullnats> to any # nat в полном объёме разрешен лишь избранным
pass in proto tcp from any to any port $good_tcp
pass in proto udp from any to any port $good_udp

pass in on $int_if proto tcp from any to $int_if port 8080 # клиенты сквид

pass in on $ext_if proto tcp from $provider to ($ext_if) port ssh
pass in on $int_if proto tcp from any to $int_if port ssh

pass inet proto icmp all icmp-type echoreq

Добавлено: **2012-10-25 10:55:51**

Ну где 53 порт????

Добавлено: **2012-10-25 12:17:39**

werder31 писал(а):Ну где 53 порт????

domain?

Добавлено: **2012-10-25 12:30:40**

я просто с пф неработал, но Вы уверены что он воспринимает

Код: Выделить всё

good_tcp = "{ ssh, smtp, domain, pop3, auth, pop3s }"

адекватно?
задайте явно 53 порт

Добавлено: **2012-10-25 13:30:39**

я просто с пф неработал

Хотелось бы получить ответ тех, кто работает с pf

Вы уверены что он воспринимает

Уверен.

Код: Выделить всё

cat /etc/services

Ещё раз повторюсь, клиенты локалки нормально резолвят DNS. pf блокирует dns на шлюзе.

Добавлено: **2012-10-25 13:42:38**

cat /etc/resolv.conf

Добавлено: **2012-10-25 15:43:27**

Там DNSник провайдера, полученный em0 по dhcp

Добавлено: **2012-10-25 15:53:57**

Код: Выделить всё

pass out on $ext_if proto tcp from me to any port domain
pass out on $ext_if proto udp from me to any port domain

а вообще ........

Код: Выделить всё

pass out on $ext_if from me to any

Добавлено: **2012-10-25 16:06:53**

Ничего не поменялось, плюс ещё виснет после загрузки правил после вставки:

Код: Выделить всё

pass out on $ext_if from me to any

Добавлено: **2012-10-25 16:12:44**

Не несите бред.
В вашем, Конкретном случае 100%-но поможет после правил ната вставить строку

Код: Выделить всё

pass quick all

Добавлено: **2012-10-25 17:17:56**

Бред несёте Вы, лейтенант. PF ругается именно на добавление в конфиг вашей строчки:

Код: Выделить всё

pass out on $ext_if from me to any

no IP address found for me
/etc/pf.conf:15: could not parse host specification
pfctl: Syntax error in config file: pf rules not loaded

Добавлено: **2012-10-25 17:23:28**

Код: Выделить всё

    pass out on $ext_if from self to any

Головешку надо-бы включить...

Добавлено: **2012-10-25 17:45:57**

Спасибо. Пошли пинги. Головешку можно было бы включить, если бы был мало-мальский опыт, а поскольку его нет, то тяжеловато начало.
Почему-то решил, что если запрещающее правило стоит

Код: Выделить всё

block in all

, то запрещены все входящие соединения, а исходящие по дефолту разрешены, а оно вот как..

Добавлено: **2012-10-25 18:42:57**

Поскольку я полностью доверяю моему шлюзу, может быть расширить:

Код: Выделить всё

pass out from self to any

?

Добавлено: **2012-10-29 16:00:54**

Код: Выделить всё

pass out on ($ext_if) from self to any

почему ошибка в этой строке?

forum.lissyara.su

pf.conf

pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf

Re: pf.conf