Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подскажите в чем косяк PF

    Scheduled Pinned Locked Moved Russian
    30 Posts 6 Posters 9.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dvserg
      last edited by

      @Tamriel:

      @ar2r:

      И еще вопрос если я хочу заблокировать определенные адреса
      то должен ли я повесить блокирующие правила еще и на LAN?

      Нужно ставить.

      Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

      SquidGuardDoc EN  RU Tutorial
      Localization ru_PFSense

      1 Reply Last reply Reply Quote 0
      • A
        ar2r
        last edited by

        @dvserg:

        @Tamriel:

        @ar2r:

        И еще вопрос если я хочу заблокировать определенные адреса
        то должен ли я повесить блокирующие правила еще и на LAN?

        Нужно ставить.

        Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

        Спасибо.
        Но как быть с
        pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"
        не понял :(

        Скинул все правила на дефолтовые
        прописал только lan wan
        смотрю rules.debug опять эта строчка висит
        что за бред

        1 Reply Last reply Reply Quote 0
        • A
          ar2r
          last edited by

          Эта срока которая все открывает появляется если прописать гатвай.
          Чтотя я не чего не понимаю. В BSD гатвай был прописан в rc.conf
            route-to для работы в pf.conf не требовалось

          GW.jpg
          GW.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • A
            ar2r
            last edited by

            В виртуалке поднял чистую систему
            Всеравно не блокирует  адреса из алиасаов(

            Rules-Wan.jpg
            Rules-Wan.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • G
              goliy
              last edited by

              не тот порядок.
              Применяется ПЕРВОЕ ПОДХОДЯЩЕЕ ПРАВИЛО.
              В твоем случае, на ЛАНе, сначало всем все разрешается, и все везде пускаются, соответственно.
              Нужно:оставить в покое ВАН. Можно там Все в обе стороны смело блокировать, если нет внешнего ИПа(или не нужен на него доступ)
              на ЛАНе:создать единственное правило * My_allow * * * * none
              И все. все остальные будут заблочены по умолчанию.

              ??????????.png
              ??????????.png_thumb

              2.0.2-RELEASE (i386)
              Intel(R) Atom(TM) CPU 330 @ 1.60GHz
              eth: Intel 82574L
              DOM sata, 1Gb
              over 150 users

              1 Reply Last reply Reply Quote 0
              • N
                NegoroX
                last edited by

                правила применяютсся сверху вниз у тебя сначала все разрешено, а потом какие то запреты до которых и дело никогда не дойдет.

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg
                  last edited by

                  Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • A
                    ar2r
                    last edited by

                    У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
                    тоесть чтобы из локалки нельзя было попасть на эти адреса

                    В разрешающем правиле другой список адресов которому все всегда разрешено.

                    1 Reply Last reply Reply Quote 0
                    • A
                      ar2r
                      last edited by

                      Это роутер у которого есть внешний IP. За ним локалка.

                      1 Reply Last reply Reply Quote 0
                      • G
                        goliy
                        last edited by

                        правило на ЛАНе:
                        allow * этим_парням_все_везде_можно * * * * none
                        block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
                        allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

                        правило на ВАНе:
                        allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
                        allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
                        allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
                        block * * * * * * - ничего ломится на мой внешний ИП всем остальным

                        2.0.2-RELEASE (i386)
                        Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                        eth: Intel 82574L
                        DOM sata, 1Gb
                        over 150 users

                        1 Reply Last reply Reply Quote 0
                        • A
                          ar2r
                          last edited by

                          На Wan вообще ничего не прописывать?

                          1 Reply Last reply Reply Quote 0
                          • G
                            goliy
                            last edited by

                            @ar2r:

                            На Wan вообще ничего не прописывать?

                            То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

                            2.0.2-RELEASE (i386)
                            Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                            eth: Intel 82574L
                            DOM sata, 1Gb
                            over 150 users

                            1 Reply Last reply Reply Quote 0
                            • D
                              dvserg
                              last edited by

                              На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
                              По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

                              1.png
                              1.png_thumb
                              2.png
                              2.png_thumb

                              SquidGuardDoc EN  RU Tutorial
                              Localization ru_PFSense

                              1 Reply Last reply Reply Quote 0
                              • G
                                goliy
                                last edited by

                                красиво выглядит!
                                только локалка не сможет пинговать интернет -)
                                для Allow же просто можно разрешить по всем протоколам.

                                2.0.2-RELEASE (i386)
                                Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                eth: Intel 82574L
                                DOM sata, 1Gb
                                over 150 users

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dvserg
                                  last edited by

                                  @goliy:

                                  красиво выглядит!
                                  только локалка не сможет пинговать интернет -)
                                  для Allow же просто можно разрешить по всем протоколам.

                                  По быстрому в виртуалке накидал.

                                  SquidGuardDoc EN  RU Tutorial
                                  Localization ru_PFSense

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    ar2r
                                    last edited by

                                    @dvserg:

                                    @goliy:

                                    красиво выглядит!
                                    только локалка не сможет пинговать интернет -)
                                    для Allow же просто можно разрешить по всем протоколам.

                                    По быстрому в виртуалке накидал.

                                    Но с самого роутера пинг идет.
                                    В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                    И там правила на внешнем интерфейсе применяются

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      goliy
                                      last edited by

                                      @ar2r:

                                      Но с самого роутера пинг идет.
                                      В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                      И там правила на внешнем интерфейсе применяются

                                      потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
                                      На вкус и цвет товарищей мало.

                                      2.0.2-RELEASE (i386)
                                      Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                      eth: Intel 82574L
                                      DOM sata, 1Gb
                                      over 150 users

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dvserg
                                        last edited by

                                        @ar2r:

                                        Но с самого роутера пинг идет.
                                        В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                        И там правила на внешнем интерфейсе применяются

                                        Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

                                        SquidGuardDoc EN  RU Tutorial
                                        Localization ru_PFSense

                                        1 Reply Last reply Reply Quote 0
                                        • A
                                          ar2r
                                          last edited by

                                          Сделал как Вы предложили.
                                          К сожалению это не сработало  изнутри сети я все ровно
                                          вижу адреса из таблицы MY_block

                                          Еще вы писали:
                                          И еще вопрос если я хочу заблокировать определенные адреса
                                          то должен ли я повесить блокирующие правила еще и на LAN?

                                          Нужно ставить.
                                          Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                                          Rules-Wan2.jpg
                                          Rules-Wan2.jpg_thumb

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            ar2r
                                            last edited by

                                            Сори все понял порядок правил
                                            LAN net вниз теперь работает.

                                            @ar2r:

                                            Сделал как Вы предложили.
                                            К сожалению это не сработало  изнутри сети я все ровно
                                            вижу адреса из таблицы MY_block

                                            Еще вы писали:
                                            И еще вопрос если я хочу заблокировать определенные адреса
                                            то должен ли я повесить блокирующие правила еще и на LAN?

                                            Нужно ставить.
                                            Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.