Не работают правила фаервола для сервера PPPOE

igogo56136

@Konstanti а этот интерфейс не динамический? вдруг он изменится при переподключении

Konstanti

@igogo56136 Динамический
Измениттся
Мне интересно - сработает или нет

igogo56136

@Konstanti Знаете что странно сейчас правило сработало через веб интерфейс но когда я его выключил и включил оно перестало работать. Я тут подумал может стоит подождать не 10 минут а больше и оно применится? а попозже ваше правило попробую

igogo56136

@Konstanti нашел в чем причина)) заработало . вобщем после правил надо делать Diagnostics->States->Reset States и поставить галочку Reset the firewall state table и нажать Reset и после этого правила работают) Спасибо за помощь!) Надо потестить денек-другой чтобы убедиться точно что проблема в этом

igogo56136

@Konstanti Попытался сделать блокировку с 17 00 до 00 00 не срабатывает. в Firewall - >Schedules создал период времени пн-вс с 17-00 до 23-59 и добавил в правило блокировки 192.168.106.10 - не срабатывает. Делал States Reset пофиг. Мне кажется не получится сделать блокировку по времени -нужен RADIUS.

Konstanti

@igogo56136
Здр
Есть одна идея как такое реализовать
Но для этого надо провести эксперимент
Из консоли выполняем последовательно такие команды

1. pfctl -k 192.168.106.10
2. netstat -nr | grep 192.168.106.0/24 | awk '{print $4}'
   отсюда берем название интерфейса , на котором сейчас висит нужная сеть
3. echo "block in quick on здесь_ставим_имя_интерфейса_из пред_команды inet from 192.168.106.10 to any " | pfctl -a userrules/u002 -f -

Сработает ???
Для отключения блокировки
pfctl -a userrules/u002 -F rules

igogo56136

@Konstanti said in Не работают правила фаервола для сервера PPPOE:

pfctl -k 192.168.106.10

команда netstat -nr | grep 192.168.106.0/24 | awk '{print $4}' ничего не вывела, нашел что сидит на интерфейсе ng39 подставил его - не блокирует

Konstanti

@igogo56136
удалите блок , как я написал
и потом
а если так ?
pfctl -k 192.168.106.10
echo "block in quick from 192.168.106.10 to any " | pfctl -a userrules/u002 -f -

и покажите вывод команды
netstat -4nr

igogo56136

@Konstanti said in Не работают правила фаервола для сервера PPPOE:

netstat -4nr

не сработало
выхлоп netstat -4nr
123123.txt

Konstanti

@igogo56136
pfctl -a userrules/u002 -F rules
pfctl -k 192.168.106.10
netstat -nr | grep 192.168.106.10 | awk '{print $4}'
echo "block in quick on ng39 " | pfctl -a userrules/u002 -f -

igogo56136

@Konstanti не сработало. интернет у 192.168.106.10 есть. Пинг один пакет пропал и дальше пошли пинги

Konstanti

@igogo56136
а покажите пож вывод после ввода каждой команды
дальше
команду echo "block in quick on ng39 " | pfctl -a userrules/u002 -f - немного изменяем
на такое
echo "block in log quick on ng39 " | pfctl -a userrules/u002 -f -

и после всех манипуляций покажите пож вывод команды
pfctl -a userrules/u002 -sr

и посмотрите логи файрвола

igogo56136

@Konstanti
pfctl -a userrules/u002 -F rules
rules cleared

pfctl -k 192.168.106.10
killed 2 states from 1 sources and 0 destinations

netstat -nr | grep 192.168.106.10 | awk '{print $4}'
ng39

echo "block in log quick on ng39 " | pfctl -a userrules/u002 -f -
пусто

pfctl -a userrules/u002 -sr
block drop in log quick on ng39 all
в логах чисто по 192.168.106.10

Konstanti

@igogo56136
а если поменять правило так
echo "block out log quick on ng39 " | pfctl -a userrules/u002 -f -

igogo56136

@Konstanti said in Не работают правила фаервола для сервера PPPOE:

echo "block out log quick on ng39 " | pfctl -a userrules/u002 -f -
echo "block out log quick on ng39 " | pfctl -a userrules/u002 -f -
пусто
интернет есть у 192.168.106.10
вывод тот же самый
у меня еще suricata стоит но не на этом интерфейсе. может поможет инфа....

Konstanti

@igogo56136
Не знаю
попробуйте так
pfctl -a userrules/u002 -F rules
pfctl -k 192.168.106.10
echo "block in quick on pppoe from 192.168.106.10 to any " | pfctl -a userrules/u002 -f -

igogo56136

@Konstanti said in Не работают правила фаервола для сервера PPPOE:

echo "block in quick on pppoe from 192.168.106.10 to any " | pfctl -a userrules/u002 -f -

вывод команды echo "block in quick on pppoe from 192.168.106.10 to any " | pfctl -a userrules/u002 -f -
пустой
интернет есть.

Konstanti

@igogo56136
а если отключить сурикату ?

igogo56136

@Konstanti отключил - инет есть. в фаерволе появилась запись Mar 24 14:57 ng39 127.0.0.1 192.168.106.10:52284 блок

Konstanti

@igogo56136
А такая команда вообще что-нить показывает ?
tcpdump -netti ng39