PPTP только с LAN



  • Доброго времени суток!
    Подскажите необразованному, как в этой системе разрешить доступ по PPTP только с ЛАНовского интерфейса

    В настройках  РРТР в поле Server address указал 192.168.2.254

    уже и в "ee /etc/inc/vpn.inc" прописывал

    set pptp self 192.168.1.1
    set pptp iface rl0 (смотрит внутрь сети)

    и в правилах ограничивал (где X.X.X.X  реальный АйПи для пробы)

    deny     GRE X.X.X.X * WAN address     *           *    
    deny     TCP X.X.X.X   * WAN address 1723 (PPTP) *
    deny        *            *               *         WAN address          *                *

    А он, зараза, все равно пускает по РРТР с WAN . уже измаился  Подскажите , где копать
    И данная проблема - это БАГ или ФИЧА.

    Version 1.2.3-RC1

    Заранее благодарен за ответ



  • Полный список правил фаервола можно?
    а то есть у вас выше написано allow all from any to any правила, что идут ниже не помогут ;)



  • да там только стоят запрещающие правила. Я знаю порядок обработки пакетов в PF, и поэтому выбрал эту систему ))))
    А прикол в том, что там стоят только запрещающие правила  :'(



  • Сейчас попробую на своем заблокировать, как получится отпишусь

    UPD: проблема такая же, заблокировать 1723 порт никак не удалось



  • @zar0ku1:

    Сейчас попробую на своем заблокировать, как получится отпишусь

    UPD: проблема такая же, заблокировать 1723 порт никак не удалось

    А зачем пробовать? Все прекрасно блокируется, удаляем правила в якоре "pptp" и все блокируется.
    И еще вопрос, а почему "allow all from any to any", почему не "pass in on em0 from any to any", это ж вроде pf.



  • Это не вроде, это pf, просто так выразился, главное суть передать



  • @zar0ku1:

    Сейчас попробую на своем заблокировать, как получится отпишусь

    UPD: проблема такая же, заблокировать 1723 порт никак не удалось

    Когда разрешаешь PPTP-сервер на pfSense правило для 1723 и GRE генерируются автоматически причём для WAN interface.



  • @Eugene:

    @zar0ku1:

    Сейчас попробую на своем заблокировать, как получится отпишусь

    UPD: проблема такая же, заблокировать 1723 порт никак не удалось

    Когда разрешаешь PPTP-сервер на pfSense правило для 1723 и GRE генерируются автоматически причём для WAN interface.

    В якоре PPTP  :)



  • @r3l4x:

    @Eugene:

    @zar0ku1:

    Сейчас попробую на своем заблокировать, как получится отпишусь

    UPD: проблема такая же, заблокировать 1723 порт никак не удалось

    Когда разрешаешь PPTP-сервер на pfSense правило для 1723 и GRE генерируются автоматически причём для WAN interface.

    В якоре PPTP  :)

    Это уже вторично где ибо важен факт, что генерируется -)


Log in to reply