Подскажите в чем косяк PF

Tamriel

И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.

dvserg

@Tamriel:

@ar2r:

И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.

Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

ar2r

@dvserg:

@Tamriel:

@ar2r:

И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.

Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

Спасибо.
Но как быть с
pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"
не понял :(

Скинул все правила на дефолтовые
прописал только lan wan
смотрю rules.debug опять эта строчка висит
что за бред

ar2r

Эта срока которая все открывает появляется если прописать гатвай.
Чтотя я не чего не понимаю. В BSD гатвай был прописан в rc.conf
route-to для работы в pf.conf не требовалось

GW.jpg_thumb

ar2r

В виртуалке поднял чистую систему
Всеравно не блокирует адреса из алиасаов(

Rules-Wan.jpg_thumb

goliy

не тот порядок.
Применяется ПЕРВОЕ ПОДХОДЯЩЕЕ ПРАВИЛО.
В твоем случае, на ЛАНе, сначало всем все разрешается, и все везде пускаются, соответственно.
Нужно:оставить в покое ВАН. Можно там Все в обе стороны смело блокировать, если нет внешнего ИПа(или не нужен на него доступ)
на ЛАНе:создать единственное правило * My_allow * * * * none
И все. все остальные будут заблочены по умолчанию.

??????????.png
??????????.png_thumb

NegoroX

правила применяютсся сверху вниз у тебя сначала все разрешено, а потом какие то запреты до которых и дело никогда не дойдет.

dvserg

Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

ar2r

У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
тоесть чтобы из локалки нельзя было попасть на эти адреса

В разрешающем правиле другой список адресов которому все всегда разрешено.

ar2r

Это роутер у которого есть внешний IP. За ним локалка.

goliy

правило на ЛАНе:
allow * этим_парням_все_везде_можно * * * * none
block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

правило на ВАНе:
allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
block * * * * * * - ничего ломится на мой внешний ИП всем остальным

ar2r

На Wan вообще ничего не прописывать?

goliy

@ar2r:

На Wan вообще ничего не прописывать?

То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

dvserg

На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

1.png_thumb

2.png_thumb

goliy

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

dvserg

@goliy:

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

По быстрому в виртуалке накидал.

ar2r

@dvserg:

@goliy:

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

По быстрому в виртуалке накидал.

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

goliy

@ar2r:

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
На вкус и цвет товарищей мало.

dvserg

@ar2r:

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

ar2r

Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_block

Еще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

Rules-Wan2.jpg_thumb