EndoR Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Всем привет! Не нашел похожей темы. Несколько вопросов к тем, кто работал с данным пакетным фильтром.   1. Несовсем понятна логика работы - в доке говорится, что ключевое слово pass в разделе nat делает так, что этот пакет не проходит через правила фильтрации.  На опыте почему-то это не так. В чем тут грабли? 2. Вопрос по самому механизму nat - говорится, что он транслирует пакет, а тот с уже измененными адресом и портом отправления идет дальше - интересно, почему фильтр пропускает пакет, в котором еще не изменен адрес? 3. Есть ли возможность сохранить порт отправки? Несовсем понятно, что делает директива static-port Всем спасибо. ---------- Fear is an efficient tool of management. Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 16:30 23-06-2005 | Исправлено: EndoR, 21:21 17-03-2006

EndoR Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Drron Цитата: Если ты пишешь pass quick то последующие правила не просматриваются. говорю же - в разделе nat. Цитата: поискать литературу по Openbsd там такойже фильтр используется. да это понятно. по ней его и осваиваю. но пока на практике расходится написанное с реальным. не понимаю, почему. ---------- Fear is an efficient tool of management. Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 01:11 24-06-2005

EndoR Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ничего не получается.... Описываю пример: внешняя сеть - 10.0.0.0/8 внутренняя сеть - 192.168.1.0/24 прокси-сервер - 10.0.0.50 (внешний), 192.168.1.1 (внутренний) во внутренней сети стоит веб-сервер - 192.168.1.2 в pf.conf следующие правила: rdr on $external_if proto tcp from any to 10.0.0.50 port 80 -> 192.168.1.2 port 80 ... pass  out on $external_if proto { tcp, udp } all keep state pass  proto tcp from any to 192.168.1.2 port 80 keep state   В чем грабли?  Заранее благодарен. ---------- Fear is an efficient tool of management. Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 17:25 01-07-2005

Felix Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: pass  proto tcp from any to 192.168.1.2 port 80 keep state наверное   pass in $external_if proto tcp from any to 10.0.0.50 port 80 keep state pass out $int_if proto tcp from any to 192.168.1.2 port 80 keep state хотя как-то сразу в голову не приходит что поставить толи any, толи самого себя... ---------- In My Opinion! Всего записей: 965 | Зарегистр. 20-01-2002 | Отправлено: 22:31 02-07-2005

nickloayev Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору EndoR Цитата: В чем грабли? узнать тебе в чем грабли тебе может помочь вот такая замечательная команда: tcpdump -n -e -ttt -i pflog0 [hostname|port и т.д.] вывод этой команды как раз показывает что блокируется.....     Цитата: Несовсем понятно, что делает директива static-port   Цитата: Tells PF not to translate the source port in TCP and UDP packets  - Говорит PF не транслировать исходный порт в TCP и UDP пакетах.     Если силен в аглицком, то могу книжечку по OpenBSD кинуть, но не раньше понедельника.... Всего записей: 348 | Зарегистр. 17-02-2004 | Отправлено: 00:36 03-07-2005

hoochie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору EndoR    Рекомендовано к прочтению http://www.openbsd.org/faq/pf/index.html После чего такие вопросы, точнее весьма смелые заявления о том, что что-то работает не так, как написано, должны отпасть.    Скорее всего, ты забыл, что PF фильтрует оба интерфейса, отсюда и проблемы... ---------- Раньше у нас было время Теперь у нас есть дела... Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 17:48 03-07-2005 | Исправлено: hoochie, 17:50 03-07-2005

EndoR Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А как бы организовать подсчет трафика по каждому правилу? ---------- Fear is an efficient tool of management. Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 16:06 08-09-2005

hoochie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Проблема  с PF на FreeBSD Release 6.0 i386.  В логах постоянно появляется rule 18/0(match): block out on rl0: 192.168.2.5 > 0.0.0.0:  pfsync 228 rl0 –  внешний интерфейс. Это нормально, что эти пакеты не выходят наружу. Так и должно быть. Но почему на каждое изменение состояния реагирует широковещательной рассылкой?    С теми же правилами PF на 5.4 такого не происходит. На релизе для amd64 не проверял. У кого какие мысли? ---------- Раньше у нас было время Теперь у нас есть дела... Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 12:17 28-11-2005

hoochie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В рассылке рекомендуют сделать так   ifconfig pfsync0 -syncif Попробовать не на чем, у меня все пересобрано без pfsync'а. У кого есть возможность - проверьте. ---------- Раньше у нас было время Теперь у нас есть дела... Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 21:04 27-01-2006 | Исправлено: hoochie, 16:10 05-06-2006

hoochie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Полезный линк. http://www.bgnett.no/~peter/pf/en/ ---------- Раньше у нас было время Теперь у нас есть дела... Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 14:24 08-06-2006

Lokryst Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору подскажите пожалуйста при помощи какого правила можно заблокировать весь внешний трафик на интерфейс tun0. Чтобы пользователи сети в нет через tun0 ходили нормально а попытки несанкционированного подключения блокировались и в идеале логировались. Заранее спасибо Всего записей: 156 | Зарегистр. 24-01-2008 | Отправлено: 10:00 19-01-2011

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » PF (Packet Filter)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование