Не работают правила фаервола для сервера PPPOE

igogo56136

@Konstanti так и делал - не работает) в чем косяк не пойму. Может дело в том что PPPOE это протокол уровня мак адресов ? а не IP. Но прокси сервер сквид видит айпи адреса. Пробовал правило блокировки на интерфейсах PPPOE, WAN, во Floating тоже писал - не пашет. Сквид настроен как прозрачный прокси.

Konstanti

@igogo56136
Покажите само правило
и как выглядит список правил на PPPOE интерфейсе
И проверьте - нет ли ошибки в ip адресе ?
Точно сервер выдает ip адреса из сети 192.168.106.0/24 ?

igogo56136

@Konstanti скриншот2 да точно выдает из 106 подсети.! скриншот3 скриншот4 скриншот5
Константин я кажется допер надо было делать правила на 106 интерфейсе а не на PPPOE ? смогу только завтра проверить

Konstanti

@igogo56136
Покажите само правило
и настройки сервера
и попробуйте посмотреть через Packet capture , с каким ip адресом источника идут пакеты через интрефейс PPPOE Server.

werter

@igogo56136
2020-03-18 19_54_56-3 — ImgBB - Waterfox Classic.png

Почему у Вас стартовый ip - .0 ?
.0 - адрес СЕТИ.
.255 - шировещательный адрес.
Чем вызвано использование ПППоЕ для доступа в сеть? Вы - провайдер?

Зы. Цепляйте скрины здесь.

igogo56136

@werter там вроде бы указывается подсеть а ниже ее маска. а адреса вручную прописываются. нет не провайдер локалка просто пппое хоть как то спасает от подмены мак адреса. выход в интернет через пппое нету мороки с мту. Pfsense используется для тестов

werter

https://docs.netgate.com/pfsense/en/latest/book/trafficshaper/limiters.html

Remote Address Range
The IP address for the start of the PPPoE client subnet. Together with the Subnet Mask it defines the network used by the PPPoE clients.

Там точно должна быть цифра, отличная от нуля.

выход в интернет через пппое нету мороки с мту.

А что с мту без ппое?

igogo56136

@werter said in Не работают правила фаервола для сервера PPPOE:

Remote Address Range
The IP address for the start of the PPPoE client subnet. Together with the Subnet Mask it defines the network used by the PPPoE clients.

Спасибо попробую сменить завтра на 1. полетит пакетик с мту 1500 с флагом не фрагментировать и не пройдет через 1492) дропнется. не?)

igogo56136

@werter Поставил 1 вместо нуля ничего не изменилось.

werter

@igogo56136 said in Не работают правила фаервола для сервера PPPOE:

@werter Поставил 1 вместо нуля ничего не изменилось.

И не должно. Так правильно.

werter

@igogo56136 said in Не работают правила фаервола для сервера PPPOE:

@werter said in Не работают правила фаервола для сервера PPPOE:

Remote Address Range
The IP address for the start of the PPPoE client subnet. Together with the Subnet Mask it defines the network used by the PPPoE clients.

Спасибо попробую сменить завтра на 1. полетит пакетик с мту 1500 с флагом не фрагментировать и не пройдет через 1492) дропнется. не?)

Кхм. Не.

igogo56136

@werter ну как нет) так проверяют мту) если дропает то мту большой

igogo56136

@Konstanti в Packet Capture интерфейса PPPOE нет в списке. Но на интерфейсе LAN106 виден нужный IP с подписью pppoe. Значит блокировать надо на интерфейсе LAN106. Я на нем правило делал - не работает. Какие именно нужно показать настройки сервера?. Две сетевые карты реалтек. одна смотрит в локалку через интерфейсы tagged VLAN . Запущен PPPOE сервер на интерфейсах VLAN с него клиенты идут на SQUID в прозрачном режиме и кто не проходит через SQUID идет через NAT. WAN -интернет интерфейс который идет на роутер с выходом в интернет.

Konstanti

@igogo56136
Здр
можете показать вывод 2-х команд из консоли ?

ifconfig
ngctl list ( при установленном PPPoE соединении)

и еще - покажите блокирующее правило "внутри" для нужного хоста на закладке PPPoE сервер

igogo56136

@Konstanti
Новый текстовый документ.txt
выхлоп очень большой не дает запостить выгрузил в тхт файл
Безымянный2.png

Konstanti

@igogo56136
Да , выхлоп большой
Смысл работы тут понятен

а можно еще увидеть вывод команды
pfctl -sr | grep pppoe

igogo56136

@Konstanti said in Не работают правила фаервола для сервера PPPOE:

pfctl -sr | grep pppoe

pass in quick on pppoe inet all flags S/SA keep state label "USER_RULE"

Konstanti

@igogo56136
Обратите внимание - запрещающего правила нет для нужного хоста
То что я вижу - "разрешает все" для PPPoE клиентов

igogo56136

@Konstanti значит проблема в разрешающем правиле? или правило не применяется? Сейчас я создам запрещающее правило и дам выхлоп

итого выхлоп с запрещающим правилом
block drop in quick on pppoe inet proto tcp from 192.168.106.10 to any flags S/SA label "USER_RULE"
pass in quick on pppoe inet all flags S/SA keep state label "USER_RULE"

странно то что правило есть а у пользователя инет тоже есть) и пинги идут итд я даже ждал минут 10 вдруг срабатывает с запаздыванием. И пользователю пппое перезапускал - пофиг не работает правило и все. Врятли правило не работает тут что то другое может баг?) еще заметил интересную штуку. пинги запускаю с клиента а когда блокирую- один пакет пропадает и пинги дальше идут

Konstanti

@igogo56136
Пинги != tcp
Вы блокируете только tcp

в настройке правил есть галочка

Отметьте ее в разрешающем правиле

а потом идите
/Status/System Logs/Firewall

и посмотрите , что там написано про источник и назначение