Подскажите в чем косяк PF

ar2r

В виртуалке поднял чистую систему
Всеравно не блокирует адреса из алиасаов(

Rules-Wan.jpg_thumb

goliy

не тот порядок.
Применяется ПЕРВОЕ ПОДХОДЯЩЕЕ ПРАВИЛО.
В твоем случае, на ЛАНе, сначало всем все разрешается, и все везде пускаются, соответственно.
Нужно:оставить в покое ВАН. Можно там Все в обе стороны смело блокировать, если нет внешнего ИПа(или не нужен на него доступ)
на ЛАНе:создать единственное правило * My_allow * * * * none
И все. все остальные будут заблочены по умолчанию.

??????????.png
??????????.png_thumb

NegoroX

правила применяютсся сверху вниз у тебя сначала все разрешено, а потом какие то запреты до которых и дело никогда не дойдет.

dvserg

Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

ar2r

У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
тоесть чтобы из локалки нельзя было попасть на эти адреса

В разрешающем правиле другой список адресов которому все всегда разрешено.

ar2r

Это роутер у которого есть внешний IP. За ним локалка.

goliy

правило на ЛАНе:
allow * этим_парням_все_везде_можно * * * * none
block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

правило на ВАНе:
allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
block * * * * * * - ничего ломится на мой внешний ИП всем остальным

ar2r

На Wan вообще ничего не прописывать?

goliy

@ar2r:

На Wan вообще ничего не прописывать?

То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

dvserg

На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

1.png_thumb

2.png_thumb

goliy

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

dvserg

@goliy:

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

По быстрому в виртуалке накидал.

ar2r

@dvserg:

@goliy:

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

По быстрому в виртуалке накидал.

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

goliy

@ar2r:

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
На вкус и цвет товарищей мало.

dvserg

@ar2r:

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

ar2r

Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_block

Еще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

Rules-Wan2.jpg_thumb

ar2r

Сори все понял порядок правил
LAN net вниз теперь работает.

@ar2r:

Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_block

Еще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

goliy

Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
Поменяй местами последнее и предпоследнее

ar2r

@dvserg:

@Tamriel:

@ar2r:

И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.

Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

Я правильно понял если бридж то надо на обоих интерфейсах ?

ar2r

Еще раз извиняюсь как только отправил так сам и увидел :'(

@goliy:

Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
Поменяй местами последнее и предпоследнее