Не работают правила фаервола для сервера PPPOE
-
@igogo56136
Покажите само правило
и настройки сервера
и попробуйте посмотреть через Packet capture , с каким ip адресом источника идут пакеты через интрефейс PPPOE Server. -
-
Почему у Вас стартовый ip - .0 ?
.0 - адрес СЕТИ.
.255 - шировещательный адрес. -
Чем вызвано использование ПППоЕ для доступа в сеть? Вы - провайдер?
Зы. Цепляйте скрины здесь.
-
-
@werter там вроде бы указывается подсеть а ниже ее маска. а адреса вручную прописываются. нет не провайдер локалка просто пппое хоть как то спасает от подмены мак адреса. выход в интернет через пппое нету мороки с мту. Pfsense используется для тестов
-
https://docs.netgate.com/pfsense/en/latest/book/trafficshaper/limiters.html
Remote Address Range
The IP address for the start of the PPPoE client subnet. Together with the Subnet Mask it defines the network used by the PPPoE clients.Там точно должна быть цифра, отличная от нуля.
выход в интернет через пппое нету мороки с мту.
А что с мту без ппое?
-
@werter said in Не работают правила фаервола для сервера PPPOE:
Remote Address Range
The IP address for the start of the PPPoE client subnet. Together with the Subnet Mask it defines the network used by the PPPoE clients.Спасибо попробую сменить завтра на 1. полетит пакетик с мту 1500 с флагом не фрагментировать и не пройдет через 1492) дропнется. не?)
-
@werter Поставил 1 вместо нуля ничего не изменилось.
-
@igogo56136 said in Не работают правила фаервола для сервера PPPOE:
@werter Поставил 1 вместо нуля ничего не изменилось.
И не должно. Так правильно.
-
@igogo56136 said in Не работают правила фаервола для сервера PPPOE:
@werter said in Не работают правила фаервола для сервера PPPOE:
Remote Address Range
The IP address for the start of the PPPoE client subnet. Together with the Subnet Mask it defines the network used by the PPPoE clients.Спасибо попробую сменить завтра на 1. полетит пакетик с мту 1500 с флагом не фрагментировать и не пройдет через 1492) дропнется. не?)
Кхм. Не.
-
@werter ну как нет) так проверяют мту) если дропает то мту большой
-
@Konstanti в Packet Capture интерфейса PPPOE нет в списке. Но на интерфейсе LAN106 виден нужный IP с подписью pppoe. Значит блокировать надо на интерфейсе LAN106. Я на нем правило делал - не работает. Какие именно нужно показать настройки сервера?. Две сетевые карты реалтек. одна смотрит в локалку через интерфейсы tagged VLAN . Запущен PPPOE сервер на интерфейсах VLAN с него клиенты идут на SQUID в прозрачном режиме и кто не проходит через SQUID идет через NAT. WAN -интернет интерфейс который идет на роутер с выходом в интернет.
-
@igogo56136
Здр
можете показать вывод 2-х команд из консоли ?-
ifconfig
-
ngctl list ( при установленном PPPoE соединении)
и еще - покажите блокирующее правило "внутри" для нужного хоста на закладке PPPoE сервер
-
-
@Konstanti
Новый текстовый документ.txt
выхлоп очень большой не дает запостить выгрузил в тхт файл
-
@igogo56136
Да , выхлоп большой
Смысл работы тут понятена можно еще увидеть вывод команды
pfctl -sr | grep pppoe -
@Konstanti said in Не работают правила фаервола для сервера PPPOE:
pfctl -sr | grep pppoe
pass in quick on pppoe inet all flags S/SA keep state label "USER_RULE"
-
@igogo56136
Обратите внимание - запрещающего правила нет для нужного хоста
То что я вижу - "разрешает все" для PPPoE клиентов -
@Konstanti значит проблема в разрешающем правиле? или правило не применяется? Сейчас я создам запрещающее правило и дам выхлоп
итого выхлоп с запрещающим правилом
block drop in quick on pppoe inet proto tcp from 192.168.106.10 to any flags S/SA label "USER_RULE"
pass in quick on pppoe inet all flags S/SA keep state label "USER_RULE"странно то что правило есть а у пользователя инет тоже есть) и пинги идут итд я даже ждал минут 10 вдруг срабатывает с запаздыванием. И пользователю пппое перезапускал - пофиг не работает правило и все. Врятли правило не работает тут что то другое может баг?) еще заметил интересную штуку. пинги запускаю с клиента а когда блокирую- один пакет пропадает и пинги дальше идут
-
@igogo56136
Пинги != tcp
Вы блокируете только tcpв настройке правил есть галочка
Отметьте ее в разрешающем правиле
а потом идите
/Status/System Logs/Firewallи посмотрите , что там написано про источник и назначение
-
@igogo56136
Как вариант попробовать- Запускаете консоль и вводите команду ifconfig
- находите название интерфейса , соответствующее строке 108.10
Например , у Вас в файле
ng5: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480 inet 192.168.108.254 --> 192.168.108.10 netmask 0xffffffff inet6 fe80::21d:92ff:fe69:fe70%ng5 prefixlen 64 scopeid 0x19 nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
Интерфейс ng5
Выполняем вот такую командуecho "block in quick on ng5 inet " | pfctl -a userrules/u002 -f -
сработает ???
чтобы отключить эту конструкцию введите команду
pfctl -a userrules/u002 -F rules
-
@Konstanti а этот интерфейс не динамический? вдруг он изменится при переподключении
-
@igogo56136 Динамический
Измениттся
Мне интересно - сработает или нет