forum.opennet.ru - "Тематический каталог: Создание межсетевого экрана с помощью ..." (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Тематический каталог: Создание межсетевого экрана с помощью ..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Тематический каталог: Создание межсетевого экрана с помощью ..."		+/–
Сообщение от auto_topic on 05-Дек-06, 01:42
Обсуждение статьи тематического каталога: Создание межсетевого экрана с помощью PF OpenBSD (openbsd pf firewall Ссылка на текст статьи: http://www.opennet.ru/base/sec/pf_openbsd_altq.txt.html
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Создание межсетевого экрана с помощью PF OpenBSD (openbsd p..., wmd772, 01:42 , 05-Дек-06, (1)
Создание межсетевого экрана с помощью PF OpenBSD (openbsd p..., MonoS, 16:39 , 11-Фев-07, (2)
Создание межсетевого экрана с помощью PF OpenBSD (openbsd p..., Константин, 22:51 , 06-Фев-10, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Создание межсетевого экрана с помощью  PF OpenBSD (openbsd p..." +/–

Сообщение от wmd772 on 05-Дек-06, 01:42

Я конечно дико извиняюсь, но ваши описания не очень свежи. Конкретно:
Ftp через NAT: ftp-proxy
не в /inetd.conf 127.0.0.1:8021 stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy -n
а в /etc/rc.conf.local ftp-proxy_flags=""
содержание pf правил тоже не верно, для версии 3.9.
Правильный вариант описан http://www.openbsd.org/faq/pf/ftp.html#client.
Я не в кой мере не критикую, команда OpenBSD очень много всего и часто меняет. Просто обращаюсь к людям, которые могут воспользоваться вашей статьей:
в статье используйте только схему
проверяйте по man и http://www.openbsd.org/faq/index.html каждую строчку автора
вы сможете таким образом найти многие отличия версий и избежать вопроса "А почему собственно не работает?"
на ответ "Я не спикаю по инглишь."
скажу "спикать придется и скажите спасибо, что первыми языки программирования начали делать англоязычные люди, а не японцы"
добавлю, что бы меня за эти строчки не пинали в живот и лицо: я не спец по obsd, и это было мое IMHO.
ЗЫ:
в man страницах тоже есть некоторые недочеты, например pppoe(4) для версии 3.9 - пароль и логин должны быть заключены в "", это предостережение для тех кто все понимает буквально, как я :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Создание межсетевого экрана с помощью  PF OpenBSD (openbsd p..." +/–

Сообщение от MonoS on 11-Фев-07, 16:39

Товарищи, использующие, PF - отзовитесь - помогите разобраться с ALTQ. Ну реально - прочитал все доки что нашел - но все равно лажа получается с ALTQ трафик шейпером - что делать не знаю(
Надо ограничивать канал...
ну помогите хотя бы примерами своих конфигов... В приниципе мне бы хватило ограничения трафика по ip адресу - ибо не могу использовать Amule( А он нужен... Юнону прикрыли и все такое)(
pf.conf
Пытаюсь ограничивать на внешнем интерфейсе фиг - не работает. привожу свой pf.conf как вот тут быть подскажите
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 45, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 80, udp.single 40, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface tun0
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"
scrub in on tun0 all fragment reassemble
scrub out all random-id max-mss 1450
ext_if = "tun0"
int_if = "rl0"
int_net = "192.168.10.0/24"
proxy_server = "192.168.10.1"
freegate_dmz = "192.168.10.250"
allow_ports = "{ ftp-data, ftp, domain, pop3, auth, \
                https, 80, 8080, aol, smtp, pop3, 3128, ntp, 8081, 8082 }"
ftp_passive = " 40000 >< 65535 "
udp_services = "{ domain }"
ext_services = "{ ssh, www, 23 }"
rdr on $ext_if proto tcp from any to any port $ext_services  -> $freegate_dmz
rdr on $int_if inet proto tcp from $int_net to any port www -> $proxy_server port 3128
rdr pass on $int_if proto tcp from $int_net to any port ftp -> 127.0.0.1 port 8021
nat on $ext_if from $int_net to any -> ($ext_if)
block all
pass in quick on $ext_if inet proto tcp from port {ftp, ftp-data} to ($ext_if) keep state
pass out log quick on $ext_if inet proto tcp from any to any port $ftp_passive keep state
pass from { lo0, rl0:network } to any keep state
pass quick inet proto { tcp, udp } to any port $ext_services keep state
pass out proto {tcp, udp} from any  to any port $allow_ports keep state

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Создание межсетевого экрана с помощью  PF OpenBSD (openbsd p..." +/–

Сообщение от Константин (??) on 06-Фев-10, 22:51

я не вижу у тя тут вообще шейпа никакого

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Создание межсетевого экрана с помощью PF OpenBSD (openbsd p..."		+/–
Сообщение от wmd772 on 05-Дек-06, 01:42
Я конечно дико извиняюсь, но ваши описания не очень свежи. Конкретно: Ftp через NAT: ftp-proxy не в /inetd.conf 127.0.0.1:8021 stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy -n а в /etc/rc.conf.local ftp-proxy_flags="" содержание pf правил тоже не верно, для версии 3.9. Правильный вариант описан http://www.openbsd.org/faq/pf/ftp.html#client. Я не в кой мере не критикую, команда OpenBSD очень много всего и часто меняет. Просто обращаюсь к людям, которые могут воспользоваться вашей статьей: в статье используйте только схему проверяйте по man и http://www.openbsd.org/faq/index.html каждую строчку автора вы сможете таким образом найти многие отличия версий и избежать вопроса "А почему собственно не работает?" на ответ "Я не спикаю по инглишь." скажу "спикать придется и скажите спасибо, что первыми языки программирования начали делать англоязычные люди, а не японцы" добавлю, что бы меня за эти строчки не пинали в живот и лицо: я не спец по obsd, и это было мое IMHO. ЗЫ: в man страницах тоже есть некоторые недочеты, например pppoe(4) для версии 3.9 - пароль и логин должны быть заключены в "", это предостережение для тех кто все понимает буквально, как я :)
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "Создание межсетевого экрана с помощью PF OpenBSD (openbsd p..."		+/–
Сообщение от MonoS on 11-Фев-07, 16:39
Товарищи, использующие, PF - отзовитесь - помогите разобраться с ALTQ. Ну реально - прочитал все доки что нашел - но все равно лажа получается с ALTQ трафик шейпером - что делать не знаю( Надо ограничивать канал... ну помогите хотя бы примерами своих конфигов... В приниципе мне бы хватило ограничения трафика по ip адресу - ибо не могу использовать Amule( А он нужен... Юнону прикрыли и все такое)( pf.conf Пытаюсь ограничивать на внешнем интерфейсе фиг - не работает. привожу свой pf.conf как вот тут быть подскажите set timeout { interval 10, frag 30 } set timeout { tcp.first 120, tcp.opening 45, tcp.established 86400 } set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } set timeout { udp.first 80, udp.single 40, udp.multiple 60 } set timeout { icmp.first 20, icmp.error 10 } set timeout { other.first 60, other.single 30, other.multiple 60 } set timeout { adaptive.start 0, adaptive.end 0 } set limit { states 10000, frags 5000 } set loginterface tun0 set optimization normal set block-policy drop set require-order yes set fingerprints "/etc/pf.os" scrub in on tun0 all fragment reassemble scrub out all random-id max-mss 1450 ext_if = "tun0" int_if = "rl0" int_net = "192.168.10.0/24" proxy_server = "192.168.10.1" freegate_dmz = "192.168.10.250" allow_ports = "{ ftp-data, ftp, domain, pop3, auth, \ https, 80, 8080, aol, smtp, pop3, 3128, ntp, 8081, 8082 }" ftp_passive = " 40000 >< 65535 " udp_services = "{ domain }" ext_services = "{ ssh, www, 23 }" rdr on $ext_if proto tcp from any to any port $ext_services -> $freegate_dmz rdr on $int_if inet proto tcp from $int_net to any port www -> $proxy_server port 3128 rdr pass on $int_if proto tcp from $int_net to any port ftp -> 127.0.0.1 port 8021 nat on $ext_if from $int_net to any -> ($ext_if) block all pass in quick on $ext_if inet proto tcp from port {ftp, ftp-data} to ($ext_if) keep state pass out log quick on $ext_if inet proto tcp from any to any port $ftp_passive keep state pass from { lo0, rl0:network } to any keep state pass quick inet proto { tcp, udp } to any port $ext_services keep state pass out proto {tcp, udp} from any to any port $allow_ports keep state
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

3. "Создание межсетевого экрана с помощью PF OpenBSD (openbsd p..."		+/–
Сообщение от Константин (??) on 06-Фев-10, 22:51
я не вижу у тя тут вообще шейпа никакого
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору