Pf table в pfsense как создать?

ar2r

Коллеги,
подскажите а как в pfsense создать table . В FreeBSD OpenBSD в  pf.conf можно использовать таблици:

В pf.conf таблицы создаются используя директиву table. Следующие
  атрибуты могут быть определены для каждой таблицы:

Пример:

table <goodguys>{ 192.0.2.0/24 }
        table <rfc1918>const { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }
        table <spammers>persist

block in on fxp0 from { ,  } to any
        pass  in on fxp0 from <goodguys>to any

Адреса могут также быть определены, используя модификатор типа
  отрицание (или "не"):

table <goodguys>{ 192.0.2.0/24, !192.0.2.5 }

Таблицы могут также могут заполняться из файлов, содержащих список
  адресов IP и сетей:

table  persist file "/etc/spammers"
        block in on fxp0 from  to any

Как быть в pfsense ?  фаил аналог pf.conf  это как я понял /tmp/rules.debug но мои правила не отображаются в Веб интерфейсе и еще пертираются если я его использую!
Подскажите table очень удобная штука.</goodguys></goodguys></spammers></rfc1918></goodguys>

dvserg

И должно перетираться. PFSense коробочный продукт, управляемый с веб-интерфейса.
Используйте ALIAS - как раз оно.

ar2r

Спасибо,
про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
Наверное только писать PHP cкрипт ?
И я пока не понял как ALIAS указать в правилах?

dvserg

@ar2r:

Спасибо,
про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
Наверное только писать PHP cкрипт ?
И я пока не понял как ALIAS указать в правилах?

Alias URL Table

Введите один URL, содержащий большое количество IP адресов и/или подсетей. После сохранения pfSense будет произведено скачивание URL и создание файла таблицы, содержащие эти адреса. Это будет работать как с большим количеством адресов (30000 +), так и с небольшим их количеством.

ar2r

Help
создал пустое правило теперь web морда падает.
Не могу его удалить есть способ удалить правиле если не доступен Веб  интерфейс?
Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
тоже.

dvserg

@ar2r:

Help
создал пустое правило теперь web морда падает.
Не могу его удалить есть способ удалить правиле если не доступен Веб  интерфейс?
Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
тоже.

SSH + WinSCP3: /conf/config.xml - убрать правило в rules и сохранить. И удалить /tmp/config.cache или перезагрузить.

ar2r

dvserg

Огромное спасибо помогло.
Но создавать новые правило просто прописав их в config.xml не получатся.
Прописываю свое правило:
<rule><id><type>pass</type>
                        <interface>wan</interface>
                        <tag><tagged><max><max-src-nodes><max-src-conn><max-src-states><statetimeout><statetype>keep state</statetype>
                        <os><protocol>tcp</protocol>
                        <source>
                                <any><destination><any></any></destination></any></os></statetimeout></max-src-states></max-src-conn></max-src-nodes></max></tagged></tag></id></rule>

Возможно Вы знаете почему я не вижу его в Веб?

dvserg

Удалить /tmp/config.cache

Eugene

pfctl -d просто таки обязан открыть доступ к WEB-интерфейсу (весь нат грохнется, пробовать только из непосредственной близости к коробке)

ar2r

@dvserg:

Удалить /tmp/config.cache

Спасибо, помогло.

ar2r

dvserg
Подскажите пожалуйста,
я прописал aliass  url
потом увидел фаил:
cat /var/db/aliastables/threatstop2.txt
220.165.5.10/32
210.83.86.139/32
89.111.96.2/32
218.64.215.239/32
61.147.75.34/32
120.204.224.242/32
64.235.47.8/32
60.211.241.131/32
212.3.0.54/32
92.60.73.14/32

Создал правило а пинги на адреса из таблици идут, не понимаю ?

User-defined rules follow

block  in log  quick  on $WAN reply-to ( rl0 85.142.127.33 )  inet proto icmp  from  $threatstop2 to  $threatstop2  label "USER_RULE: threats "

Eugene

ты блокируешь пинги, которые идут с IP из этой таблицы на IP из этой таблицы. Чего пытаемся запретить? из или на?

ar2r

Прописал any to any всеравно Icmp идут.