Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подскажите в чем косяк PF

    Scheduled Pinned Locked Moved Russian
    30 Posts 6 Posters 9.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      ar2r
      last edited by

      @dvserg:

      @goliy:

      красиво выглядит!
      только локалка не сможет пинговать интернет -)
      для Allow же просто можно разрешить по всем протоколам.

      По быстрому в виртуалке накидал.

      Но с самого роутера пинг идет.
      В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
      И там правила на внешнем интерфейсе применяются

      1 Reply Last reply Reply Quote 0
      • G
        goliy
        last edited by

        @ar2r:

        Но с самого роутера пинг идет.
        В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
        И там правила на внешнем интерфейсе применяются

        потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
        На вкус и цвет товарищей мало.

        2.0.2-RELEASE (i386)
        Intel(R) Atom(TM) CPU 330 @ 1.60GHz
        eth: Intel 82574L
        DOM sata, 1Gb
        over 150 users

        1 Reply Last reply Reply Quote 0
        • D
          dvserg
          last edited by

          @ar2r:

          Но с самого роутера пинг идет.
          В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
          И там правила на внешнем интерфейсе применяются

          Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

          SquidGuardDoc EN  RU Tutorial
          Localization ru_PFSense

          1 Reply Last reply Reply Quote 0
          • A
            ar2r
            last edited by

            Сделал как Вы предложили.
            К сожалению это не сработало  изнутри сети я все ровно
            вижу адреса из таблицы MY_block

            Еще вы писали:
            И еще вопрос если я хочу заблокировать определенные адреса
            то должен ли я повесить блокирующие правила еще и на LAN?

            Нужно ставить.
            Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

            Rules-Wan2.jpg
            Rules-Wan2.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • A
              ar2r
              last edited by

              Сори все понял порядок правил
              LAN net вниз теперь работает.

              @ar2r:

              Сделал как Вы предложили.
              К сожалению это не сработало  изнутри сети я все ровно
              вижу адреса из таблицы MY_block

              Еще вы писали:
              И еще вопрос если я хочу заблокировать определенные адреса
              то должен ли я повесить блокирующие правила еще и на LAN?

              Нужно ставить.
              Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

              1 Reply Last reply Reply Quote 0
              • G
                goliy
                last edited by

                Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
                Поменяй местами последнее и предпоследнее

                2.0.2-RELEASE (i386)
                Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                eth: Intel 82574L
                DOM sata, 1Gb
                over 150 users

                1 Reply Last reply Reply Quote 0
                • A
                  ar2r
                  last edited by

                  @dvserg:

                  @Tamriel:

                  @ar2r:

                  И еще вопрос если я хочу заблокировать определенные адреса
                  то должен ли я повесить блокирующие правила еще и на LAN?

                  Нужно ставить.

                  Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                  Я правильно понял если бридж то надо на обоих интерфейсах ?

                  1 Reply Last reply Reply Quote 0
                  • A
                    ar2r
                    last edited by

                    Еще раз извиняюсь как только отправил так сам и увидел  :'(

                    @goliy:

                    Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
                    Поменяй местами последнее и предпоследнее

                    1 Reply Last reply Reply Quote 0
                    • A
                      ar2r
                      last edited by

                      Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
                      Или я опять не понял?

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg
                        last edited by

                        @ar2r:

                        Я правильно понял если бридж то надо на обоих интерфейсах на LAN и WAN ?
                        Или я опять не понял?

                        Получается, что так. Сам ведь бридж у тебя как интерфейс не выведен?
                        Можно еще Floating с опцией Quick.

                        SquidGuardDoc EN  RU Tutorial
                        Localization ru_PFSense

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.