forum.lissyara.su

Добавлено: **2016-06-27 13:52:58**

Доброго всем времени суток!

Прошу помощи в настройке PF.
В небольшом филиальском офисе есть маленький сервер на Freebsd 9.3, понадобилось поднять на нем VPN, настроил на MPD5, всё замечательно работало до тех пор пока не добавил PF. В итоге имеем:
Маршрутизатор на котором проброшен порт 1723, сервер с одним сетевым интерфейсом 192.168.3.200. С включенным PF-ом подключение по VPN происходит, но никакие внутренние ресурсы не доступны, выключаем PF и всё отлично работает.

pf.conf

Код: Выделить всё

net_if="xl0"
#Макросы
tcp_services="{ssh, 53, 137, 139, 445}"
udp_services="{53, 137, 138, 445}"
ftp_ports="{ftp, ftp-data}"
#Политики
#Не слушаем loopback интерфейс
set skip on lo0
#Нормализация трафика
scrub in all
#Антиспуфинг
antispoof quick for $net_if
#Блокируем все входящие подключения
block in all
#Разрешаем всё исходящее
pass out on $net_if from any to any keep state
#Разрешаем входящие
pass in quick on $net_if inet proto tcp from any to any port $tcp_services keep state
pass in quick on $net_if inet proto udp from any to any port $udp_services keep state
# FTP
pass quick inet proto {tcp, udp} from any to any port $ftp_ports keep state
pass quick inet proto {tcp, udp} from any to any port > 18000 keep state
# Разрешить GRE-протокол для тунелированных соединений
pass quick inet proto gre to any keep state
# VPN
pass in on $net_if inet proto tcp from any to $net_if port 1723
pass inet proto {tcp, udp, icmp} from 192.168.3.0/24 to 192.168.3.0/24 keep state
# PING
pass in on $net_if inet proto icmp from any to any
#Блокируем IPv6
block drop inet6 all

Заранее спасибо всем откликнувшимся!

Добавлено: **2016-06-27 21:31:19**

Может что и поправили, но год назад по этой причине отказался от PF. Точно так себя вели и mpd5 и openvpn. Коннектятся и все. Где-то на англицком писали что это глюк(?) PF-а. Правда это было про pfsence ....
А может я просто неосилятор

Добавлено: **2016-06-28 8:13:28**

lordlev писал(а):Может что и поправили, но год назад по этой причине отказался от PF. Точно так себя вели и mpd5 и openvpn. Коннектятся и все. Где-то на англицком писали что это глюк(?) PF-а. Правда это было про pfsence ....
А может я просто неосилятор

Да, тоже читал про глюк PF-а, но уж очень не хочется от него отказываться.

Добавлено: **2016-06-28 15:22:06**

Логи добавь на запрещающие правила и смотри чего на них попадает.

Добавлено: **2016-06-29 13:54:20**

Pf позволяет только одно подключение по PPTP сквозь него. И то там не тривиально. C OpenVPN вообще никаких проблем. Использую OpenVPN и радуюсь

Добавлено: **2016-08-28 16:14:44**

"...Pf позволяет только одно подключение по PPTP.." бред imho

У меня работало отлично вот так:

Код: Выделить всё

ext_if1 = "igb1"  внешний интерфейс
pass in on $ext_if1 proto tcp to any port { 1723 and other ports etc  }

Добавлено: **2016-08-29 13:19:49**

Нужно gre разрешить через ipfw, на pf не получится... смотри нп форуме, уже обсуждалось...

Добавлено: **2016-08-29 19:16:09**

Не пользовался ни когода ipfw, все прекрасно через pf...
Не совсем понял, что не получиться? Разрешить gre через pf?

Код: Выделить всё

pass on { gif gre}

forum.lissyara.su

MPD5 + PF

MPD5 + PF

MPD5 + PF

MPD5 + PF

MPD5 + PF

MPD5 + PF

MPD5 + PF

MPD5 + PF

MPD5 + PF