Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подскажите в чем косяк PF

    Scheduled Pinned Locked Moved Russian
    30 Posts 6 Posters 9.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dvserg
      last edited by

      Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

      SquidGuardDoc EN  RU Tutorial
      Localization ru_PFSense

      1 Reply Last reply Reply Quote 0
      • A
        ar2r
        last edited by

        У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
        тоесть чтобы из локалки нельзя было попасть на эти адреса

        В разрешающем правиле другой список адресов которому все всегда разрешено.

        1 Reply Last reply Reply Quote 0
        • A
          ar2r
          last edited by

          Это роутер у которого есть внешний IP. За ним локалка.

          1 Reply Last reply Reply Quote 0
          • G
            goliy
            last edited by

            правило на ЛАНе:
            allow * этим_парням_все_везде_можно * * * * none
            block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
            allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

            правило на ВАНе:
            allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
            allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
            allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
            block * * * * * * - ничего ломится на мой внешний ИП всем остальным

            2.0.2-RELEASE (i386)
            Intel(R) Atom(TM) CPU 330 @ 1.60GHz
            eth: Intel 82574L
            DOM sata, 1Gb
            over 150 users

            1 Reply Last reply Reply Quote 0
            • A
              ar2r
              last edited by

              На Wan вообще ничего не прописывать?

              1 Reply Last reply Reply Quote 0
              • G
                goliy
                last edited by

                @ar2r:

                На Wan вообще ничего не прописывать?

                То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

                2.0.2-RELEASE (i386)
                Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                eth: Intel 82574L
                DOM sata, 1Gb
                over 150 users

                1 Reply Last reply Reply Quote 0
                • D
                  dvserg
                  last edited by

                  На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
                  По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

                  1.png
                  1.png_thumb
                  2.png
                  2.png_thumb

                  SquidGuardDoc EN  RU Tutorial
                  Localization ru_PFSense

                  1 Reply Last reply Reply Quote 0
                  • G
                    goliy
                    last edited by

                    красиво выглядит!
                    только локалка не сможет пинговать интернет -)
                    для Allow же просто можно разрешить по всем протоколам.

                    2.0.2-RELEASE (i386)
                    Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                    eth: Intel 82574L
                    DOM sata, 1Gb
                    over 150 users

                    1 Reply Last reply Reply Quote 0
                    • D
                      dvserg
                      last edited by

                      @goliy:

                      красиво выглядит!
                      только локалка не сможет пинговать интернет -)
                      для Allow же просто можно разрешить по всем протоколам.

                      По быстрому в виртуалке накидал.

                      SquidGuardDoc EN  RU Tutorial
                      Localization ru_PFSense

                      1 Reply Last reply Reply Quote 0
                      • A
                        ar2r
                        last edited by

                        @dvserg:

                        @goliy:

                        красиво выглядит!
                        только локалка не сможет пинговать интернет -)
                        для Allow же просто можно разрешить по всем протоколам.

                        По быстрому в виртуалке накидал.

                        Но с самого роутера пинг идет.
                        В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                        И там правила на внешнем интерфейсе применяются

                        1 Reply Last reply Reply Quote 0
                        • G
                          goliy
                          last edited by

                          @ar2r:

                          Но с самого роутера пинг идет.
                          В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                          И там правила на внешнем интерфейсе применяются

                          потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
                          На вкус и цвет товарищей мало.

                          2.0.2-RELEASE (i386)
                          Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                          eth: Intel 82574L
                          DOM sata, 1Gb
                          over 150 users

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg
                            last edited by

                            @ar2r:

                            Но с самого роутера пинг идет.
                            В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                            И там правила на внешнем интерфейсе применяются

                            Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • A
                              ar2r
                              last edited by

                              Сделал как Вы предложили.
                              К сожалению это не сработало  изнутри сети я все ровно
                              вижу адреса из таблицы MY_block

                              Еще вы писали:
                              И еще вопрос если я хочу заблокировать определенные адреса
                              то должен ли я повесить блокирующие правила еще и на LAN?

                              Нужно ставить.
                              Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                              Rules-Wan2.jpg
                              Rules-Wan2.jpg_thumb

                              1 Reply Last reply Reply Quote 0
                              • A
                                ar2r
                                last edited by

                                Сори все понял порядок правил
                                LAN net вниз теперь работает.

                                @ar2r:

                                Сделал как Вы предложили.
                                К сожалению это не сработало  изнутри сети я все ровно
                                вижу адреса из таблицы MY_block

                                Еще вы писали:
                                И еще вопрос если я хочу заблокировать определенные адреса
                                то должен ли я повесить блокирующие правила еще и на LAN?

                                Нужно ставить.
                                Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                                1 Reply Last reply Reply Quote 0
                                • G
                                  goliy
                                  last edited by

                                  Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
                                  Поменяй местами последнее и предпоследнее

                                  2.0.2-RELEASE (i386)
                                  Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                  eth: Intel 82574L
                                  DOM sata, 1Gb
                                  over 150 users

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    ar2r
                                    last edited by

                                    @dvserg:

                                    @Tamriel:

                                    @ar2r:

                                    И еще вопрос если я хочу заблокировать определенные адреса
                                    то должен ли я повесить блокирующие правила еще и на LAN?

                                    Нужно ставить.

                                    Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                                    Я правильно понял если бридж то надо на обоих интерфейсах ?

                                    1 Reply Last reply Reply Quote 0
                                    • A
                                      ar2r
                                      last edited by

                                      Еще раз извиняюсь как только отправил так сам и увидел  :'(

                                      @goliy:

                                      Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
                                      Поменяй местами последнее и предпоследнее

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        ar2r
                                        last edited by

                                        Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
                                        Или я опять не понял?

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          dvserg
                                          last edited by

                                          @ar2r:

                                          Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
                                          Или я опять не понял?

                                          Получается, что так. Сам ведь бридж у тебя как интерфейс не выведен?
                                          Можно еще Floating с опцией Quick.

                                          SquidGuardDoc EN  RU Tutorial
                                          Localization ru_PFSense

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.