Страница 1 из 1
PF - вопросы по синтаксису написания макросов, правил ...
Добавлено: 2007-07-03 13:10:51
freeman
Прочитал
тут вот что можно
Код: Выделить всё
Синтаксис: <имя_макроса>="<значение>" # определение макроса
$<имя_макроса> # вызов макроса
Замечание:
<значением> могут быть также списки и другие макросы, возможна рекурсия:
<имя_макроса_списка>="{" <имя_макроса1><имя_макроса2> "}"
[/size]
Так вот вопрос - что то у меня на реальном примере не получается "вложить" несколько макросов в один
Как
реально писать то правильно надо ?
Добавлено: 2007-07-03 13:19:43
freeman
И вопрос 2 по поводу NAT. Часто предпочитаю не делать nat полдсети и потом фильтрацию, а писать всразу
Код: Выделить всё
nat pass on rl0 inet from $userX to $serverX port = ekshell -> (rl0) round-robin
Чтобы минуя правила фильтрации
конкретному пользователю на конкретный сервак, порт разрешить доступ и всё.
Если бы сначала заNATить , то в фильтре уже только всему внешнему интерфейсу как я понял придётся разрешать выход, а на конктретный IP внутренний уже не получится.
Так вот всё хорошо, кроме ... ICMP.
Синтаксиси нашёл во такой.
Код: Выделить всё
nat [pass [log]] on interface [af] from src_addr [port src_port] to \
dst_addr [port dst_port] -> ext_addr [pool_type] [static-port]
Любой TCP/UDP и т.д. по номеру порта пропустить нечего делать, а как в правиле NAT прописать разрешение ICMP с таких то IP туда то ??
Re: PF - вопросы по синтаксису написания макросов, правил
Добавлено: 2007-07-03 15:02:35
freeman
freeman писал(а):Прочитал
тут вот что можно
Код: Выделить всё
Синтаксис: <имя_макроса>="<значение>" # определение макроса
$<имя_макроса> # вызов макроса
Замечание:
<значением> могут быть также списки и другие макросы, возможна рекурсия:
<имя_макроса_списка>="{" <имя_макроса1><имя_макроса2> "}"
[/size]
Так вот вопрос - что то у меня на реальном примере не получается "вложить" несколько макросов в один
Как
реально писать то правильно надо ?
Повозился счас ещё с этим. Что получилось -
Код: Выделить всё
friends = "{ 192.168.1.1, 10.0.2.5, 192.168.43.53 }"
Macros can be defined recursively. Since macros are not expanded within quotes the following syntax must be used:
host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 "}"
Так вот
Код: Выделить всё
host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 "}"
действительно работает, а вот
Код: Выделить всё
friends = "{ 192.168.1.1, 10.0.2.5, 192.168.43.53 }"
following syntax must be used:
host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 $friends "}"
Получается макрос в макрос можно вкладывать только если дочерние макросы НЕ состоят из списков ?
Добавлено: 2007-07-03 16:03:38
freeman
Следующий вопрос - как указать диапазон вместо макроса
friends = "{ 192.168.1.1, 192.168.1.2, 192.168.1.3, 192.168.1.4, 192.168.1.55, 192.168.1.60, 192.168.1.61, 192.168.1.62, 192.168.1.63, 192.168.1.64, 192.168.1.65}"
по типу "старого виндового"
192.168.1.1-192.168.1.4, 192.168.1.55, 192.168.1.60-192.168.1.65 ?
Добавлено: 2007-07-03 16:05:07
freeman
и последний на сегодня -
если пускать пакеты напрямую через nat (pass) , не юзая фильтры, то загнать в очередь altq нереально как я понимаю ?
Добавлено: 2007-07-04 9:52:53
freeman
Раз по PF тут тишина позволю себе вопрос другого характера - где можно найти место/форум чтоб по русски позадавать вопросы по нему, пообсуждать ?
Добавлено: 2007-07-04 10:00:46
Alex Keda
чем тебя ipfw не устраивает
Добавлено: 2007-07-04 10:12:17
Dog
Полезная штука.
Кстати, ее автор - активный участник bsdportal.ru, там ему можно умные вопросы позадавать, в том числе по поводу его учебного пособия.
Добавлено: 2007-07-04 10:57:54
Andy
Надо бы его сюда перетащить, кстати.
Добавлено: 2007-07-04 11:40:03
Andy
lissyara писал(а):чем тебя ipfw не устраивает
Лис, а ты попробуй с ним поработать. Хотя бы чуть-чуть. Обратно вернуться к ipfw всегда
можно.
Добавлено: 2007-07-04 11:55:20
Alex Keda
извини - некогда.
и негде...
Добавлено: 2007-07-04 12:10:23
Andy
lissyara писал(а):извини - некогда.
Это понять можно.
lissyara писал(а):и негде...
А серверы? А дома?
Добавлено: 2007-07-04 12:18:12
freeman
Ага, по ней и разбирался
Но там увы именно моих конкретных вопросов/случаев не рассмотено ни на примерах, ни в теории увы.
Кстати, ее автор - активный участник bsdportal.ru, там ему можно умные вопросы позадавать, в том числе по поводу его учебного пособия.
Andy писал(а):Надо бы его сюда перетащить, кстати.
Да да! Очень бы хотелось б.
А почму PF ? Да потому же почему многие на него переходят и во FreeBSD портировали .. хорошая штучка вроде
Добавлено: 2007-07-04 12:23:54
Alex Keda
нах.
я к ipfw привык - да и его до конца не знаю, а вы уже ещё что-то предлагаете...