Подскажите в чем косяк PF
-
-
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.
Спасибо.
Но как быть с
pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"
не понял :(Скинул все правила на дефолтовые
прописал только lan wan
смотрю rules.debug опять эта строчка висит
что за бред -
Эта срока которая все открывает появляется если прописать гатвай.
Чтотя я не чего не понимаю. В BSD гатвай был прописан в rc.conf
route-to для работы в pf.conf не требовалось
-
В виртуалке поднял чистую систему
Всеравно не блокирует адреса из алиасаов(
-
не тот порядок.
Применяется ПЕРВОЕ ПОДХОДЯЩЕЕ ПРАВИЛО.
В твоем случае, на ЛАНе, сначало всем все разрешается, и все везде пускаются, соответственно.
Нужно:оставить в покое ВАН. Можно там Все в обе стороны смело блокировать, если нет внешнего ИПа(или не нужен на него доступ)
на ЛАНе:создать единственное правило * My_allow * * * * none
И все. все остальные будут заблочены по умолчанию.
-
правила применяютсся сверху вниз у тебя сначала все разрешено, а потом какие то запреты до которых и дело никогда не дойдет.
-
Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?
-
У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
тоесть чтобы из локалки нельзя было попасть на эти адресаВ разрешающем правиле другой список адресов которому все всегда разрешено.
-
Это роутер у которого есть внешний IP. За ним локалка.
-
правило на ЛАНе:
allow * этим_парням_все_везде_можно * * * * none
block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можноправило на ВАНе:
allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
block * * * * * * - ничего ломится на мой внешний ИП всем остальным -
На Wan вообще ничего не прописывать?
-
На Wan вообще ничего не прописывать?
То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно
-
На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.
-
красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам. -
красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.По быстрому в виртуалке накидал.
-
красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.По быстрому в виртуалке накидал.
Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются -
Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяютсяпотому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
На вкус и цвет товарищей мало. -
Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяютсяЗдесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.
-
Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_blockЕще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.
-
Сори все понял порядок правил
LAN net вниз теперь работает.Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_blockЕще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.