Подскажите в чем косяк PF

dvserg

Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

ar2r

У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
тоесть чтобы из локалки нельзя было попасть на эти адреса

В разрешающем правиле другой список адресов которому все всегда разрешено.

ar2r

Это роутер у которого есть внешний IP. За ним локалка.

goliy

правило на ЛАНе:
allow * этим_парням_все_везде_можно * * * * none
block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

правило на ВАНе:
allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
block * * * * * * - ничего ломится на мой внешний ИП всем остальным

ar2r

На Wan вообще ничего не прописывать?

goliy

@ar2r:

На Wan вообще ничего не прописывать?

То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

dvserg

На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

goliy

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

dvserg

@goliy:

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

По быстрому в виртуалке накидал.

ar2r

@dvserg:

@goliy:

красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.

По быстрому в виртуалке накидал.

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

goliy

@ar2r:

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
На вкус и цвет товарищей мало.

dvserg

@ar2r:

Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются

Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

ar2r

Сделал как Вы предложили.
К сожалению это не сработало  изнутри сети я все ровно
вижу адреса из таблицы MY_block

Еще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

ar2r

Сори все понял порядок правил
LAN net вниз теперь работает.

@ar2r:

Сделал как Вы предложили.
К сожалению это не сработало  изнутри сети я все ровно
вижу адреса из таблицы MY_block

Еще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

goliy

Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
Поменяй местами последнее и предпоследнее

ar2r

@dvserg:

@Tamriel:

@ar2r:

И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?

Нужно ставить.

Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

Я правильно понял если бридж то надо на обоих интерфейсах ?

ar2r

Еще раз извиняюсь как только отправил так сам и увидел  :'(

@goliy:

Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
Поменяй местами последнее и предпоследнее

ar2r

Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
Или я опять не понял?

dvserg

@ar2r:

Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
Или я опять не понял?

Получается, что так. Сам ведь бридж у тебя как интерфейс не выведен?
Можно еще Floating с опцией Quick.