Pf table в pfsense как создать?

dvserg

И должно перетираться. PFSense коробочный продукт, управляемый с веб-интерфейса.
Используйте ALIAS - как раз оно.

ar2r

Спасибо,
про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
Наверное только писать PHP cкрипт ?
И я пока не понял как ALIAS указать в правилах?

dvserg

@ar2r:

Спасибо,
про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
Наверное только писать PHP cкрипт ?
И я пока не понял как ALIAS указать в правилах?

Alias URL Table

Введите один URL, содержащий большое количество IP адресов и/или подсетей. После сохранения pfSense будет произведено скачивание URL и создание файла таблицы, содержащие эти адреса. Это будет работать как с большим количеством адресов (30000 +), так и с небольшим их количеством.

ar2r

Help
создал пустое правило теперь web морда падает.
Не могу его удалить есть способ удалить правиле если не доступен Веб  интерфейс?
Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
тоже.

dvserg

@ar2r:

Help
создал пустое правило теперь web морда падает.
Не могу его удалить есть способ удалить правиле если не доступен Веб  интерфейс?
Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
тоже.

SSH + WinSCP3: /conf/config.xml - убрать правило в rules и сохранить. И удалить /tmp/config.cache или перезагрузить.

ar2r

dvserg

Огромное спасибо помогло.
Но создавать новые правило просто прописав их в config.xml не получатся.
Прописываю свое правило:
<rule><id><type>pass</type>
                        <interface>wan</interface>
                        <tag><tagged><max><max-src-nodes><max-src-conn><max-src-states><statetimeout><statetype>keep state</statetype>
                        <os><protocol>tcp</protocol>
                        <source>
                                <any><destination><any></any></destination></any></os></statetimeout></max-src-states></max-src-conn></max-src-nodes></max></tagged></tag></id></rule>

Возможно Вы знаете почему я не вижу его в Веб?

dvserg

Удалить /tmp/config.cache

Eugene

pfctl -d просто таки обязан открыть доступ к WEB-интерфейсу (весь нат грохнется, пробовать только из непосредственной близости к коробке)

ar2r

@dvserg:

Удалить /tmp/config.cache

Спасибо, помогло.

ar2r

dvserg
Подскажите пожалуйста,
я прописал aliass  url
потом увидел фаил:
cat /var/db/aliastables/threatstop2.txt
220.165.5.10/32
210.83.86.139/32
89.111.96.2/32
218.64.215.239/32
61.147.75.34/32
120.204.224.242/32
64.235.47.8/32
60.211.241.131/32
212.3.0.54/32
92.60.73.14/32

Создал правило а пинги на адреса из таблици идут, не понимаю ?

User-defined rules follow

block  in log  quick  on $WAN reply-to ( rl0 85.142.127.33 )  inet proto icmp  from  $threatstop2 to  $threatstop2  label "USER_RULE: threats "

Eugene

ты блокируешь пинги, которые идут с IP из этой таблицы на IP из этой таблицы. Чего пытаемся запретить? из или на?

ar2r

Прописал any to any всеравно Icmp идут.