Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подскажите в чем косяк PF

    Scheduled Pinned Locked Moved Russian
    30 Posts 6 Posters 9.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      ar2r
      last edited by

      Я правильно понимаю это правило все разрешает?

      pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"

      1 Reply Last reply Reply Quote 0
      • E
        Eugene
        last edited by

        @ar2r:

        Я правильно понимаю это правило все разрешает?

        pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"

        Не всё, а только from 85.142.127.61 to !85.142.127.32/27

        http://ru.doc.pfsense.org

        1 Reply Last reply Reply Quote 0
        • A
          ar2r
          last edited by

          опции route-to
          используется для создания балансировки нагрузки как я прочитал
          зачем она в pfsense ?
          если я удаляю правило
          pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"
          То вообще все перестает работать

          И еще вопрос если я хочу заблокировать определенные адреса
          то должен ли я повесить блокирующие правила еще и на LAN?

          1 Reply Last reply Reply Quote 0
          • T
            Tamriel
            last edited by

            @ar2r:

            И еще вопрос если я хочу заблокировать определенные адреса
            то должен ли я повесить блокирующие правила еще и на LAN?

            Нужно ставить.

            AMD Athlon™ XP 1700+
            384MB Ram
            NanoBSD Boot Slice pfsense0 / da0s1
            Platform nanobsd (512mb)
            Version 2.0-RELEASE (i386)
            built on Wed Sep 14 09:08:10 EDT 2011

            1 Reply Last reply Reply Quote 0
            • D
              dvserg
              last edited by

              @Tamriel:

              @ar2r:

              И еще вопрос если я хочу заблокировать определенные адреса
              то должен ли я повесить блокирующие правила еще и на LAN?

              Нужно ставить.

              Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • A
                ar2r
                last edited by

                @dvserg:

                @Tamriel:

                @ar2r:

                И еще вопрос если я хочу заблокировать определенные адреса
                то должен ли я повесить блокирующие правила еще и на LAN?

                Нужно ставить.

                Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                Спасибо.
                Но как быть с
                pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"
                не понял :(

                Скинул все правила на дефолтовые
                прописал только lan wan
                смотрю rules.debug опять эта строчка висит
                что за бред

                1 Reply Last reply Reply Quote 0
                • A
                  ar2r
                  last edited by

                  Эта срока которая все открывает появляется если прописать гатвай.
                  Чтотя я не чего не понимаю. В BSD гатвай был прописан в rc.conf
                    route-to для работы в pf.conf не требовалось

                  GW.jpg
                  GW.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • A
                    ar2r
                    last edited by

                    В виртуалке поднял чистую систему
                    Всеравно не блокирует  адреса из алиасаов(

                    Rules-Wan.jpg
                    Rules-Wan.jpg_thumb

                    1 Reply Last reply Reply Quote 0
                    • G
                      goliy
                      last edited by

                      не тот порядок.
                      Применяется ПЕРВОЕ ПОДХОДЯЩЕЕ ПРАВИЛО.
                      В твоем случае, на ЛАНе, сначало всем все разрешается, и все везде пускаются, соответственно.
                      Нужно:оставить в покое ВАН. Можно там Все в обе стороны смело блокировать, если нет внешнего ИПа(или не нужен на него доступ)
                      на ЛАНе:создать единственное правило * My_allow * * * * none
                      И все. все остальные будут заблочены по умолчанию.

                      ??????????.png
                      ??????????.png_thumb

                      2.0.2-RELEASE (i386)
                      Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                      eth: Intel 82574L
                      DOM sata, 1Gb
                      over 150 users

                      1 Reply Last reply Reply Quote 0
                      • N
                        NegoroX
                        last edited by

                        правила применяютсся сверху вниз у тебя сначала все разрешено, а потом какие то запреты до которых и дело никогда не дойдет.

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg
                          last edited by

                          Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • A
                            ar2r
                            last edited by

                            У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
                            тоесть чтобы из локалки нельзя было попасть на эти адреса

                            В разрешающем правиле другой список адресов которому все всегда разрешено.

                            1 Reply Last reply Reply Quote 0
                            • A
                              ar2r
                              last edited by

                              Это роутер у которого есть внешний IP. За ним локалка.

                              1 Reply Last reply Reply Quote 0
                              • G
                                goliy
                                last edited by

                                правило на ЛАНе:
                                allow * этим_парням_все_везде_можно * * * * none
                                block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
                                allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

                                правило на ВАНе:
                                allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
                                allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
                                allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
                                block * * * * * * - ничего ломится на мой внешний ИП всем остальным

                                2.0.2-RELEASE (i386)
                                Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                eth: Intel 82574L
                                DOM sata, 1Gb
                                over 150 users

                                1 Reply Last reply Reply Quote 0
                                • A
                                  ar2r
                                  last edited by

                                  На Wan вообще ничего не прописывать?

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    goliy
                                    last edited by

                                    @ar2r:

                                    На Wan вообще ничего не прописывать?

                                    То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

                                    2.0.2-RELEASE (i386)
                                    Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                    eth: Intel 82574L
                                    DOM sata, 1Gb
                                    over 150 users

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      dvserg
                                      last edited by

                                      На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
                                      По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

                                      1.png
                                      1.png_thumb
                                      2.png
                                      2.png_thumb

                                      SquidGuardDoc EN  RU Tutorial
                                      Localization ru_PFSense

                                      1 Reply Last reply Reply Quote 0
                                      • G
                                        goliy
                                        last edited by

                                        красиво выглядит!
                                        только локалка не сможет пинговать интернет -)
                                        для Allow же просто можно разрешить по всем протоколам.

                                        2.0.2-RELEASE (i386)
                                        Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                        eth: Intel 82574L
                                        DOM sata, 1Gb
                                        over 150 users

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          dvserg
                                          last edited by

                                          @goliy:

                                          красиво выглядит!
                                          только локалка не сможет пинговать интернет -)
                                          для Allow же просто можно разрешить по всем протоколам.

                                          По быстрому в виртуалке накидал.

                                          SquidGuardDoc EN  RU Tutorial
                                          Localization ru_PFSense

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            ar2r
                                            last edited by

                                            @dvserg:

                                            @goliy:

                                            красиво выглядит!
                                            только локалка не сможет пинговать интернет -)
                                            для Allow же просто можно разрешить по всем протоколам.

                                            По быстрому в виртуалке накидал.

                                            Но с самого роутера пинг идет.
                                            В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                            И там правила на внешнем интерфейсе применяются

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.