вопрос по pf

[aliens]

есть машина с 2-мя сетевухами, подскажите,как открыть пинги во все направления?
и как сделать.чтоыб при запуске системы правила pf загружались?

[rolano]

А чтение man pf уже не помогает? Если проблема с аглицким - есть неплохой (хотя и несколько староватый) перевод на Великий и Могучий на dreamcatcher.ru

[aliens]

читал, все правила настроил. осталось 1. У меня 2 сетевые, на внутреннюю кое что открыто, остальное block all. Как открыть исхожящий? а то написал pass out on $ext_if to 10.1.1.0/24,не пашет =/

[Meg@DED]

А поиск заюзать тоже религия не позволяет вот, например, готовый конфиг Шлюз на OpenBSD 3.6, только макросы исправить по необходимости и лишнее убрать, типа внутренних web-серверов.

[Shura]

pass out on $ext_if to 10.1.1.0/24

Сомневаюсь, что в интернете есть адреса 10.1.1.0/24

[aliens]

Shura
мне не в инет,мне надо чтобы он по ВПН законектился на машину 10.1.1.1 и видел ее... хотя тему можно закрыть,я сделал

[aliens]

ммм... опять проблема,сделал список правил. Но не работает пропуск людей из локалки на некотоыре сервера без ВПН соединения. Почему? подскажите пожалуйста?

Код: Выделить всё

ext_if="tun0"
int_if="rl0"

lan_net="192.168.4.0/24"
vpn_net="192.168.50.0/24"
no_route="{ 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"

services_port="{ www, ssh, domain, auth, https }"

ICQ_serv="{ login.icq.com, icq.com }"

IRC_serv="{ 193.138.84.251, 80.93.58.131 }"
IRC_port="{ 6667, 6669 }"

admins="{ 192.168.4.24, 192.168.4.90, 192.168.4.19 }"

set block-policy return
set loginterface $ext_if

scrub in all
#natim
nat on $ext_if from $lan_net to $ICQ_serv port 5190 ->($ext_if)
nat on $ext_if from $lan_net to $IRC_serv port $IRC_port ->($ext_if)
nat on $ext_if from $vpn_net to any ->($ext_if)

#perekidivaem 80 port na proxy i icq
#rdr inet proto tcp from $vpn_net to any port www -> 192.168.50.254 port 3128
#rdr inet proto tcp from $lan_net to any port 5190 -> 192.168.50.254 port 3128

#blo4im levoe ne marshrutiziruemoe
block in quick on $ext_if from $no_route to any
block out quick on $ext_if from any to $no_route
block all
#otkrivaet isxodyashee
pass quick on lo0 all
pass quick on $int_if to $admins
pass quick on fxp0 from any to any
pass quick from $vpn_net to any
pass quick from any to $vpn_net

#squid
#pass out on $ext_if inet proto tcp from any to any port { www, 5190 } keep state

#vnutri seti
pass quick on $int_if inet proto tcp from any to $int_if port $services_port
pass quick on $int_if inet proto tcp from $int_if to any port $services_port
pass in on $int_if from $lan_net to $int_if
pass out on $int_if from $int_if to $lan_net

pass in on $ext_if proto tcp all modulate state flags S/SA
pass in on $ext_if proto { icmp, udp } all keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { icmp, udp } all keep state

Редиректы на сквид не надо.

[Shura]

Что значит "на некоторые сервера"?
У тебя локалка попадает в список no_route. Может поэтому?

И еще:

block in quick on $ext_if from $no_route to any
block out quick on $ext_if from any to $no_route
block all

Первые 2 строки бесполезны. Третья их перекрывает.

[aliens]

блин,точняк туплюс =/

[aliens]

на некоторые сервера значит на сервера аськи и IRC_serv.
Закомментил строки,не помогло

Да и в манах сказано,что правила НАТ правилам фильтрации не поддаются

[Shura]

Проверь отрабатывает ли DNS