forum.lissyara.su

Код: Выделить всё

ext_if="re0" #Внешний интерфейс (смотрит к провайдеру WAN) 
 int_if="rl0" #Внутренний интерфейс (смотрит в нашу сеть LAN) 

 set skip on lo0 #пропускаем проверку на петле 
 scrub in all #собираем все части пакета перед отправкой 
 nat on $ext_if from $int_if:network to any -> ($ext_if) 

 block all #запретим все отовсюду 
 pass in on $int_if from any to any #разрешаем всё из локальной сети 
 pass out on $ext_if from $ext_if to any #разрешаем серверу доступ в интернет 
 pass in on $ext_if proto tcp from any to $ext_if port ssh #разрешаем ssh 
 pass in inet proto icmp all icmp-type echoreq #разрешаем ping 

Код: Выделить всё

localhost# pfctl -f /etc/pf.conf 
 No ALTQ support in kernel 
 ALTQ related functions disabled 
 /etc/pf.conf:3: syntax error 
 /etc/pf.conf:6: syntax error 
 /etc/pf.conf:12: syntax error 
 pfctl: Syntax error in config file: pf rules not loaded 

Код: Выделить всё

ext_if="re0"
int_if="re1"

int_net="{2.2.2.2/8}"
host2="8.8.8.8"

tcp_out="нужные тебе порты"

table <bruteforce> persist file "/var/log/bruteforce"


set block-policy drop
set skip on lo
set timeout { frag 10, tcp.established 3600 }
scrub in all no-df fragment reassemble
scrub out all random-id max-mss 1400


nat on $ext_if from $int_net to !(self) -> ($ext_if)

block all

antispoof log quick for {lo0, $int_if, $ext_if}

block drop quick from <bruteforce>

pass quick on $int_if inet proto tcp from $int_net to any port {$tcp_out} modulate state

pass in on $int_if  proto udp from $int_net  to any   port domain   queue qdns keep state

pass in on $int_if proto tcp from $host2 to $int_if  port ssh  queue ( qssh, qack ) synproxy state (max-src-conn-rate 5/360, overload <bruteforce> flush global)

pass out on $ext_if   modulate state

Код: Выделить всё

my# pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

Код: Выделить всё

ifconfig_re0="DHCP"
ifconfig_rl0="inet 192.168.100.1  netmask 255.255.255.0"
defaultrouter="172.24.254.254"
hostname="my.host"
sshd_enable="YES"
ftpd_enable="YES"
inetd_enable="YES"

gateway_enable="YES"		#Разрешает серверу быть шлюзом 
pf_enable="YES"			    #Запуск pf 
pflog_enable="YES"		    #не обязательно, возможность писать логи pf
pf_rules=" /etc/pf.conf"		#Пуьт к правилам pf
pf_program=" /sbin/pfctl"	#Путь к программе управления pf
pf_flags=""			        #Необходимо для pfctl

Код: Выделить всё

ext_if="re0"		 	#Внешний интерфейс (смотрит к провайдеру WAN)
int_if="rl0" 			#Внутренний интерфейс (смотрит в нашу сеть LAN)
 
table <pf-allow-pc> file "/etc/pf-allow-pc"
set skip on lo0 #пропускаем проверку на петле
scrub in all #собираем все части пакета перед отправкой
nat on $ext_if from <pf-allow-pc> to any -> ($ext_if)
 

block all #запретим все отовсюду
pass in on $int_if from any to any #разрешаем всё из локальной сети 
pass out on $ext_if from $ext_if to any #разрешаем серверу доступ в интернет 
pass in on $ext_if proto tcp from any to $ext_if port ssh #разрешаем ssh
pass in inet proto icmp all icmp-type echoreq #разрешаем ping 

Код: Выделить всё

192.168.100.1
192.168.100.2
192.168.100.3

Код: Выделить всё

Ip:192.168.100.2
mask:255.255.255.0
Основной шлюз: 192.168.100.1
DNS:192.168.100.1

Код: Выделить всё

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Windows\System32>tracert -d 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.100.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *       32 ms    31 ms  209.85.254.114
 13     *        *        *     Превышен интервал ожидания для запроса.
 14    31 ms    31 ms    31 ms  8.8.8.8

Трассировка завершена.

Код: Выделить всё

my# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 40 byte packets
 1  10.192.109.254 (10.192.109.254)  0.400 ms  0.309 ms  0.303 ms
 2  10.16.16.88 (10.16.16.88)  0.304 ms  0.533 ms  0.655 ms
 3  10.16.16.90 (10.16.16.90)  0.591 ms  1.176 ms  0.913 ms
 4  109.95.47.221 (109.95.47.221)  1.867 ms  1.593 ms  4.514 ms
 5  62.182.120.169 (62.182.120.169)  1.523 ms  0.965 ms  1.505 ms
 6  91.245.221.13 (91.245.221.13)  0.949 ms  1.030 ms  0.945 ms
 7  91.245.221.11 (91.245.221.11)  1.286 ms  1.117 ms  1.598 ms
 8  77.88.206.2 (77.88.206.2)  2.018 ms  3.094 ms  3.032 ms
 9  88.81.240.182 (88.81.240.182)  1.586 ms  1.587 ms *
10  209.85.242.220 (209.85.242.220)  31.278 ms  31.497 ms  31.311 ms
11  72.14.239.60 (72.14.239.60)  30.825 ms  31.375 ms  45.623 ms
12  209.85.254.118 (209.85.254.118)  31.713 ms  31.427 ms
    209.85.254.112 (209.85.254.112)  31.383 ms
13  * * *
14  8.8.8.8 (8.8.8.8)  31.867 ms  31.815 ms  32.456 ms
my#

Код: Выделить всё

pfctl -sn

Код: Выделить всё

my# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
my#

Код: Выделить всё

pfctl -f /etc/pf.conf