Pf table в pfsense как создать?

dvserg · Jul 28, 2011, 12:23 PM

И должно перетираться. PFSense коробочный продукт, управляемый с веб-интерфейса.
Используйте ALIAS - как раз оно.

ar2r · Jul 28, 2011, 4:33 PM

Спасибо,
про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
Наверное только писать PHP cкрипт ?
И я пока не понял как ALIAS указать в правилах?

dvserg · Jul 28, 2011, 5:25 PM

@ar2r:

Спасибо,
про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
Наверное только писать PHP cкрипт ?
И я пока не понял как ALIAS указать в правилах?

Alias URL Table

Введите один URL, содержащий большое количество IP адресов и/или подсетей. После сохранения pfSense будет произведено скачивание URL и создание файла таблицы, содержащие эти адреса. Это будет работать как с большим количеством адресов (30000 +), так и с небольшим их количеством.

ar2r · Aug 2, 2011, 12:45 PM

Help
создал пустое правило теперь web морда падает.
Не могу его удалить есть способ удалить правиле если не доступен Веб интерфейс?
Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
тоже.

dvserg · Aug 2, 2011, 12:50 PM

@ar2r:

Help
создал пустое правило теперь web морда падает.
Не могу его удалить есть способ удалить правиле если не доступен Веб интерфейс?
Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
тоже.

SSH + WinSCP3: /conf/config.xml - убрать правило в rules и сохранить. И удалить /tmp/config.cache или перезагрузить.

ar2r · Aug 2, 2011, 2:13 PM

dvserg

Огромное спасибо помогло.
Но создавать новые правило просто прописав их в config.xml не получатся.
Прописываю свое правило:
<rule><id><type>pass</type>
<interface>wan</interface>
<tag><tagged><max><max-src-nodes><max-src-conn><max-src-states><statetimeout><statetype>keep state</statetype>
<os><protocol>tcp</protocol>
<source>
<any><destination><any></any></destination></any></os></statetimeout></max-src-states></max-src-conn></max-src-nodes></max></tagged></tag></id></rule>

Возможно Вы знаете почему я не вижу его в Веб?

dvserg · Aug 2, 2011, 3:15 PM

Удалить /tmp/config.cache

Eugene · Aug 2, 2011, 3:35 PM

pfctl -d просто таки обязан открыть доступ к WEB-интерфейсу (весь нат грохнется, пробовать только из непосредственной близости к коробке)

ar2r · Aug 2, 2011, 3:40 PM

@dvserg:

Удалить /tmp/config.cache

Спасибо, помогло.

ar2r · Aug 3, 2011, 4:10 PM

dvserg
Подскажите пожалуйста,
я прописал aliass url
потом увидел фаил:
cat /var/db/aliastables/threatstop2.txt
220.165.5.10/32
210.83.86.139/32
89.111.96.2/32
218.64.215.239/32
61.147.75.34/32
120.204.224.242/32
64.235.47.8/32
60.211.241.131/32
212.3.0.54/32
92.60.73.14/32

Создал правило а пинги на адреса из таблици идут, не понимаю ?

User-defined rules follow

block in log quick on $WAN reply-to ( rl0 85.142.127.33 ) inet proto icmp from $threatstop2 to $threatstop2 label "USER_RULE: threats "

Eugene · Aug 4, 2011, 3:30 PM

ты блокируешь пинги, которые идут с IP из этой таблицы на IP из этой таблицы. Чего пытаемся запретить? из или на?

ar2r · Aug 10, 2011, 10:02 AM

Прописал any to any всеравно Icmp идут.