PPTP только с LAN

jo_key

Доброго времени суток!
Подскажите необразованному, как в этой системе разрешить доступ по PPTP только с ЛАНовского интерфейса

В настройках  РРТР в поле Server address указал 192.168.2.254

уже и в "ee /etc/inc/vpn.inc" прописывал

set pptp self 192.168.1.1
set pptp iface rl0 (смотрит внутрь сети)

и в правилах ограничивал (где X.X.X.X  реальный АйПи для пробы)

deny     GRE X.X.X.X * WAN address     *           *    
deny     TCP X.X.X.X   * WAN address 1723 (PPTP) *
deny        *            *               *         WAN address          *                *

А он, зараза, все равно пускает по РРТР с WAN . уже измаился  Подскажите , где копать
И данная проблема - это БАГ или ФИЧА.

Version 1.2.3-RC1

Заранее благодарен за ответ

zar0ku1

Полный список правил фаервола можно?
а то есть у вас выше написано allow all from any to any правила, что идут ниже не помогут ;)

jo_key

да там только стоят запрещающие правила. Я знаю порядок обработки пакетов в PF, и поэтому выбрал эту систему ))))
А прикол в том, что там стоят только запрещающие правила  :'(

zar0ku1

Сейчас попробую на своем заблокировать, как получится отпишусь

UPD: проблема такая же, заблокировать 1723 порт никак не удалось

r3l4x

@zar0ku1:

Сейчас попробую на своем заблокировать, как получится отпишусь

UPD: проблема такая же, заблокировать 1723 порт никак не удалось

А зачем пробовать? Все прекрасно блокируется, удаляем правила в якоре "pptp" и все блокируется.
И еще вопрос, а почему "allow all from any to any", почему не "pass in on em0 from any to any", это ж вроде pf.

zar0ku1

Это не вроде, это pf, просто так выразился, главное суть передать

Eugene

@zar0ku1:

Сейчас попробую на своем заблокировать, как получится отпишусь

UPD: проблема такая же, заблокировать 1723 порт никак не удалось

Когда разрешаешь PPTP-сервер на pfSense правило для 1723 и GRE генерируются автоматически причём для WAN interface.

r3l4x

@Eugene:

@zar0ku1:

Сейчас попробую на своем заблокировать, как получится отпишусь

UPD: проблема такая же, заблокировать 1723 порт никак не удалось

Когда разрешаешь PPTP-сервер на pfSense правило для 1723 и GRE генерируются автоматически причём для WAN interface.

В якоре PPTP  :)

Eugene

@r3l4x:

@Eugene:

@zar0ku1:

Сейчас попробую на своем заблокировать, как получится отпишусь

UPD: проблема такая же, заблокировать 1723 порт никак не удалось

Когда разрешаешь PPTP-сервер на pfSense правило для 1723 и GRE генерируются автоматически причём для WAN interface.

В якоре PPTP  :)

Это уже вторично где ибо важен факт, что генерируется -)