Подскажите в чем косяк PF
-
На Wan вообще ничего не прописывать?
-
На Wan вообще ничего не прописывать?
То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно
-
На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.
-
красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам. -
красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.По быстрому в виртуалке накидал.
-
красиво выглядит!
только локалка не сможет пинговать интернет -)
для Allow же просто можно разрешить по всем протоколам.По быстрому в виртуалке накидал.
Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяются -
Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяютсяпотому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
На вкус и цвет товарищей мало. -
Но с самого роутера пинг идет.
В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
И там правила на внешнем интерфейсе применяютсяЗдесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.
-
Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_blockЕще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.
-
Сори все понял порядок правил
LAN net вниз теперь работает.Сделал как Вы предложили.
К сожалению это не сработало изнутри сети я все ровно
вижу адреса из таблицы MY_blockЕще вы писали:
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж. -
Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
Поменяй местами последнее и предпоследнее -
И еще вопрос если я хочу заблокировать определенные адреса
то должен ли я повесить блокирующие правила еще и на LAN?Нужно ставить.
Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.
Я правильно понял если бридж то надо на обоих интерфейсах ?
-
Еще раз извиняюсь как только отправил так сам и увидел :'(
Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
Поменяй местами последнее и предпоследнее -
Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
Или я опять не понял? -
Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
Или я опять не понял?Получается, что так. Сам ведь бридж у тебя как интерфейс не выведен?
Можно еще Floating с опцией Quick.