forum.opennet.ru - "Помогите настроить pf" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите настроить pf"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите настроить pf"		+/–
Сообщение от lemurid (ok) on 31-Июл-09, 22:55
А то выползают глюки. К примеру не работает редирект на сквид... ( Вкратце сеть. Через нее ходят пользователи. + VPN на MPD. На шлюзе на котором настраиваем веб сервер редиректит на эксчейндж. Приму любые советы от мэтров. pf.conf ext_if="rl0" (Статический айпи, интерфейс во внешний мир) vpn_if="{ng0, ng1, ng2, ng3, ng4}" (айпи диапазон выделяется mpd) int_if="fxp0" (статический айпи 10.10.10.1) trusted_lan="10.10.10.0/24" localnet="127.0.0.0/8" icmp_types="{echoreq, unreach}" set block-policy return set skip on lo0 set skip on $int_if (если убрать перестает работать vpn подсеть. Как не пробовал написать правило. Увы примеров не нашел) set skip on $vpn_if scrub in all # NAT rdr on $int_if proto tcp from $trusted_lan to any port www -> 127.0.0.1 port 3128 nat on $ext_if from $trusted_lan to any -> $ext_if #---------------------------------------------------- block all pass out on $ext_if from $ext_if to any keep state pass out on $ext_if from $trusted_lan to any keep state pass in on $ext_if proto tcp from any to $ext_if port ssh pass in on $int_if proto tcp from any to $int_if port ssh pass in on $ext_if proto tcp from any to $ext_if port 1723 pass in on $vpn_if proto tcp from any to $trusted_lan port rdp pass out on $vpn_if proto tcp from $trusted_lan to any pass in on $ext_if proto tcp from any to $ext_if port 80 keep state pass in on $ext_if proto tcp from any to $ext_if port 443 keep state pass log inet proto icmp all
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите настроить pf, reader, 13:32 , 01-Авг-09, (1)
Помогите настроить pf, artemrts, 13:47 , 01-Авг-09, (2)

Помогите настроить pf, lemurid, 13:34 , 03-Авг-09, (3)

Помогите настроить pf, artemrts, 14:04 , 03-Авг-09, (4)

Помогите настроить pf, lemurid, 17:39 , 09-Авг-09, (5)

Помогите настроить pf, reader, 21:44 , 09-Авг-09, (6)

Помогите настроить pf, lemurid, 23:23 , 13-Авг-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите настроить pf" +/–

Сообщение от reader (ok) on 01-Авг-09, 13:32

на squid не перенапровляеися из-за
set skip on $int_if

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите настроить pf" +/–

Сообщение от artemrts (??) on 01-Авг-09, 13:47

>[оверквотинг удален]
>pass in on $ext_if proto tcp from any to $ext_if port 1723
>
>pass in on $vpn_if proto tcp from any to $trusted_lan port rdp
>
>pass out on $vpn_if proto tcp from $trusted_lan to any
>pass in on $ext_if proto tcp from any to $ext_if port 80
>keep state
>pass in on $ext_if proto tcp from any to $ext_if port 443
>keep state
>pass log inet proto icmp all
  Ну так тыж скип на внтреннем интерфейе делаеш, потому и не работает.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите настроить pf" +/–

Сообщение от lemurid (ok) on 03-Авг-09, 13:34

Спасибо всем. Переписал правила сам. Вот что получилось. Все равно с машин во внутренней сети даже при остановке сквида, интернет продолжает поступать
ext_if="rl0"
vpn_if="{ng0, ng1, ng2, ng3, ng4}"
int_if="fxp0"
#Задаем локальные сервисы
ppp_srv="{ 22, 80, 443, 1723}"
trusted_lan="10.10.10.0/24"
localnet="127.0.0.0/8"
icmp_types="{echoreq, unreach}"
set block-policy return
set skip on lo0
scrub in all
#  NAT
rdr on $int_if proto tcp from $int_if to any port www -> 127.0.0.1 port 3128
Выше вначале пробовал from $trusted_lan to any port www -> 127.0.0.1 port 3128 эффект такой же
nat on $ext_if from !$ext_if -> $ext_if
block all
################################
pass quick on $vpn_if
pass quick on $int_if
# Traffic from gateway
pass out on $ext_if from $ext_if to any
#Включаем локальные сервисы
pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv
# ICMP
pass log inet proto icmp all

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помогите настроить pf" +/–

Сообщение от artemrts (ok) on 03-Авг-09, 14:04

>[оверквотинг удален]
>pass quick on $vpn_if
>pass quick on $int_if
>
># Traffic from gateway
>pass out on $ext_if from $ext_if to any
>#Включаем локальные сервисы
>pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv
>
># ICMP
>pass log inet proto icmp all
Так нат закоментируй.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помогите настроить pf" +/–

Сообщение от lemurid (??) on 09-Авг-09, 17:39

>
>Так нат закоментируй.
Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Помогите настроить pf" +/–

Сообщение от reader (ok) on 09-Авг-09, 21:44

>>
>>Так нат закоментируй.
>
>Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копать
начните с параметров сборки и версии squid.
в access.log при запросе что-то пишется?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Помогите настроить pf" +/–

Сообщение от lemurid (??) on 13-Авг-09, 23:23

>начните с параметров сборки и версии squid.
>в access.log при запросе что-то пишется?
Не буду приводить опции сквид, лишь приведу конфиг.
FBSD - 7.2 squid-3.0.16

Строчка
rdr on $int_if proto tcp from ANY to any port www -> 10.10.10.1 port 3128
исправила все.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите настроить pf"		+/–
Сообщение от reader (ok) on 01-Авг-09, 13:32
на squid не перенапровляеися из-за set skip on $int_if
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Помогите настроить pf"		+/–
Сообщение от artemrts (??) on 01-Авг-09, 13:47
>[оверквотинг удален] >pass in on $ext_if proto tcp from any to $ext_if port 1723 > >pass in on $vpn_if proto tcp from any to $trusted_lan port rdp > >pass out on $vpn_if proto tcp from $trusted_lan to any >pass in on $ext_if proto tcp from any to $ext_if port 80 >keep state >pass in on $ext_if proto tcp from any to $ext_if port 443 >keep state >pass log inet proto icmp all Ну так тыж скип на внтреннем интерфейе делаеш, потому и не работает.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Помогите настроить pf"		+/–
	Сообщение от lemurid (ok) on 03-Авг-09, 13:34
	Спасибо всем. Переписал правила сам. Вот что получилось. Все равно с машин во внутренней сети даже при остановке сквида, интернет продолжает поступать ext_if="rl0" vpn_if="{ng0, ng1, ng2, ng3, ng4}" int_if="fxp0" #Задаем локальные сервисы ppp_srv="{ 22, 80, 443, 1723}" trusted_lan="10.10.10.0/24" localnet="127.0.0.0/8" icmp_types="{echoreq, unreach}" set block-policy return set skip on lo0 scrub in all # NAT rdr on $int_if proto tcp from $int_if to any port www -> 127.0.0.1 port 3128 Выше вначале пробовал from $trusted_lan to any port www -> 127.0.0.1 port 3128 эффект такой же nat on $ext_if from !$ext_if -> $ext_if block all ################################ pass quick on $vpn_if pass quick on $int_if # Traffic from gateway pass out on $ext_if from $ext_if to any #Включаем локальные сервисы pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv # ICMP pass log inet proto icmp all
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Помогите настроить pf"		+/–
	Сообщение от artemrts (ok) on 03-Авг-09, 14:04
	>[оверквотинг удален] >pass quick on $vpn_if >pass quick on $int_if > ># Traffic from gateway >pass out on $ext_if from $ext_if to any >#Включаем локальные сервисы >pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv > ># ICMP >pass log inet proto icmp all Так нат закоментируй.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Помогите настроить pf"		+/–
	Сообщение от lemurid (??) on 09-Авг-09, 17:39
	> >Так нат закоментируй. Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копать
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Помогите настроить pf"		+/–
	Сообщение от reader (ok) on 09-Авг-09, 21:44
	>> >>Так нат закоментируй. > >Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копать начните с параметров сборки и версии squid. в access.log при запросе что-то пишется?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Помогите настроить pf"		+/–
	Сообщение от lemurid (??) on 13-Авг-09, 23:23
	>начните с параметров сборки и версии squid. >в access.log при запросе что-то пишется? Не буду приводить опции сквид, лишь приведу конфиг. FBSD - 7.2 squid-3.0.16 Строчка rdr on $int_if proto tcp from ANY to any port www -> 10.10.10.1 port 3128 исправила все.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору