Pf table в pfsense как создать?



  • Коллеги,
    подскажите а как в pfsense создать table . В FreeBSD OpenBSD в  pf.conf можно использовать таблици:

    В pf.conf таблицы создаются используя директиву table. Следующие
      атрибуты могут быть определены для каждой таблицы:

    Пример:

    table <goodguys>{ 192.0.2.0/24 }
            table <rfc1918>const { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }
            table <spammers>persist

    block in on fxp0 from { ,  } to any
            pass  in on fxp0 from <goodguys>to any

    Адреса могут также быть определены, используя модификатор типа
      отрицание (или "не"):

    table <goodguys>{ 192.0.2.0/24, !192.0.2.5 }

    Таблицы могут также могут заполняться из файлов, содержащих список
      адресов IP и сетей:

    table  persist file "/etc/spammers"
            block in on fxp0 from  to any

    Как быть в pfsense ?  фаил аналог pf.conf  это как я понял /tmp/rules.debug но мои правила не отображаются в Веб интерфейсе и еще пертираются если я его использую!
    Подскажите table очень удобная штука.</goodguys></goodguys></spammers></rfc1918></goodguys>



  • И должно перетираться. PFSense коробочный продукт, управляемый с веб-интерфейса.
    Используйте ALIAS - как раз оно.



  • Спасибо,
    про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
    Наверное только писать PHP cкрипт ?
    И я пока не понял как ALIAS указать в правилах?



  • @ar2r:

    Спасибо,
    про ALIAS понятно но все-таки хочется разом фаил с ip вредителей прописать.
    Наверное только писать PHP cкрипт ?
    И я пока не понял как ALIAS указать в правилах?

    Alias URL Table

    Введите один URL, содержащий большое количество IP адресов и/или подсетей. После сохранения pfSense будет произведено скачивание URL и создание файла таблицы, содержащие эти адреса. Это будет работать как с большим количеством адресов (30000 +), так и с небольшим их количеством.
    
    


  • Help
    создал пустое правило теперь web морда падает.
    Не могу его удалить есть способ удалить правиле если не доступен Веб  интерфейс?
    Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
    тоже.



  • @ar2r:

    Help
    создал пустое правило теперь web морда падает.
    Не могу его удалить есть способ удалить правиле если не доступен Веб  интерфейс?
    Пытался остановить PF не помогло, пытался перезалить правила из /tmp/debug.rules
    тоже.

    SSH + WinSCP3: /conf/config.xml - убрать правило в rules и сохранить. И удалить /tmp/config.cache или перезагрузить.



  • dvserg

    Огромное спасибо помогло.
    Но создавать новые правило просто прописав их в config.xml не получатся.
    Прописываю свое правило:
    <rule><id><type>pass</type>
                            <interface>wan</interface>
                            <tag><tagged><max><max-src-nodes><max-src-conn><max-src-states><statetimeout><statetype>keep state</statetype>
                            <os><protocol>tcp</protocol>
                            <source>
                                    <any><destination><any></any></destination></any></os></statetimeout></max-src-states></max-src-conn></max-src-nodes></max></tagged></tag></id></rule>

    Возможно Вы знаете почему я не вижу его в Веб?



  • Удалить /tmp/config.cache



  • pfctl -d просто таки обязан открыть доступ к WEB-интерфейсу (весь нат грохнется, пробовать только из непосредственной близости к коробке)



  • @dvserg:

    Удалить /tmp/config.cache

    Спасибо, помогло.



  • dvserg
    Подскажите пожалуйста,
    я прописал aliass  url
    потом увидел фаил:
    cat /var/db/aliastables/threatstop2.txt
    220.165.5.10/32
    210.83.86.139/32
    89.111.96.2/32
    218.64.215.239/32
    61.147.75.34/32
    120.204.224.242/32
    64.235.47.8/32
    60.211.241.131/32
    212.3.0.54/32
    92.60.73.14/32

    Создал правило а пинги на адреса из таблици идут, не понимаю ?

    User-defined rules follow

    block  in log  quick  on $WAN reply-to ( rl0 85.142.127.33 )  inet proto icmp  from  $threatstop2 to  $threatstop2  label "USER_RULE: threats "



  • ты блокируешь пинги, которые идут с IP из этой таблицы на IP из этой таблицы. Чего пытаемся запретить? из или на?



  • Прописал any to any всеравно Icmp идут.


Locked