При включении NAT не работают правила блокир&

werter

Доброго.

Затем, меняю правило с "разрешить" на "блокировать" или отключаю его, но ничего не происходит, порт открыт!!!

Вы правило НАТа-то откл\удалите. И будет вам блокировка.

Mainfin

werter, спасибо, я уже понял. т.е. это нормальная ситуация?
Я как то привык, что nat - это нат, а правила отдельно. Для меня это было очень неприятной неожиданностью, как-то хочется запрещая трафик ожидать что он будет заблокирован.

Отсюда следующий вопрос: при включении nat 1:1 мы фактически переводим брандмауэр в режим моста? Я уже не смогу создать для транслируемого адреса никаких правил???

derwin

werter
откуда у тебя столько терпения? удивительно.
Mainfin, нужно понимать, что разрешения на рулесах и правила NAT-а это разные вещи. А ещё нужно резетить текущие стейты.

werter

Доброго.
@derwin:

откуда у тебя столько терпения? удивительно.

https://www.youtube.com/watch?v=d3tbZ5E0P_s
Системно-сетевой-прАграммист-ааауминяничивониработаит - социально ответственная проффЭсия.

P.s. Вспомнилось. Крайность. Но 80-ый левел же ж - https://lurkmore.to/Ни_единого_разрыва  ;D

Mainfin

забавные вы ребята, если нужно не дюжее терпение для ответа на вопросы в форуме, то вы werter, очень выносливый человек, если сумели натерпеть 5000 постов))

По теме, нужно понимать, что у pf своя обособленная идеология. И у большинства все же правила NAT - это правила трансляции, а правила фаервола - это правила фильтрации трафика.
Мое предыдущее утверждение верно:
Отсюда следующий вопрос: при включении nat 1:1 мы фактически переводим брандмауэр в режим моста? Я уже не смогу создать для транслируемого адреса никаких правил?

werter

По теме, нужно понимать, что у pf своя обособленная идеология. И у большинства все же правила NAT - это правила трансляции, а правила фаервола - это правила фильтрации трафика.

Идеология - как у всех никсов.

1-я же ссылка в гугле по rules priority pfsense
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

Отсюда следующий вопрос: при включении nat 1:1 мы фактически переводим брандмауэр в режим моста? Я уже не смогу создать для транслируемого адреса никаких пр

1-я же ссылка в гугле по nat 1:1 pfsense
https://doc.pfsense.org/index.php/1:1_NAT

У меня просто нечеловеческое терпение  8)

Пользуйте поиск. Или научу. За деньги. Большие.

Mainfin

Спасибо.
Мне еще пару уроков иностранного видимо нужно. Я так-то понимаю что такое нат, но из доки так и не понял как управлять трафиком при использовании 1:1.

При этом (возвращаясь к первому посту), если я создаю обычный nat (pat) и автоматически не создаю ассоциированного правила, то в последствии я могу прекрасно управлять правилами создавая и модифицируя их вручную.

ps
pf для меня нов и не привычен, поэтому некоторые вещи кажутся мне нелогичны. А для админа неправильно настроенный фаервол может быть фатален. Поэтому если есть возможность объяснить - было бы здорово.

rubic

@Mainfin:

забавные вы ребята, если нужно не дюжее терпение для ответа на вопросы в форуме, то вы werter, очень выносливый человек, если сумели натерпеть 5000 постов))

Вертер - робот на платформе FreeBSD. Google: "Робот Вертер". Я сам запустил его лет 10 назад, и он до сих пор работает как часы! И, скажу я вам, работает отлично! Вертер заставляет думать и сомневаться! Вертер включает ваши мозги! Вертер не оставит ваш вопрос без ответа. Он единственный, кто поддерживает жизнь русской ветки. Без сарказма, спасибо Вертер!
Однако, по сути вашего вопроса: port forward работает до firewall, поэтому разрешающее правило необходимо. То, что вы его отключили, а трафик все равно идет, объясняется другими причинами. Вам ведь уже говорили, что нужно сделать reset states?
Пожалуйста не обижайтесь, милый Вертер! Я немного глупо шучу) С наступающим, друзья!

werter

Доброго.
Ого. Не знаю, что и ответить. Попробую все же https://youtu.be/pzDoUGh1mIE?t=8  ::)

Как для кого, но для меня этот форум - уже больше, чем просто окошко в браузере. Это уже часть моей жизни, что ли.

С наступающим, коллеги! Здоровья, терпения, достатка и МИРА всем-всем на этом голубом шарике  ;)

rubic

ХА-ХА-ХА :-)

pigbrother

2Rubic
Было бы крайне несправедливо не отметить вашего участия в жизни форума.
Без ваших редких, но чрезвычайно ценных постов многое осталось бы непонятным и нереализованным.

2werter
Как для кого, но для меня этот форум - уже больше, чем просто окошко в браузере. Это уже часть моей жизни, что ли.
Аналогично. Лучше и не скажешь.

Всем добра в новом году.