PF+MPD5

Обсуждаем OS FreeBSD и сервисы на ней.

Re: PF+MPD5

Сообщение Андрей » 02 мар 2011, 14:34

Сколько сессий ожидается?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: PF+MPD5

Сообщение borin » 02 мар 2011, 14:45

Андрей писал(а):Сколько сессий ожидается?

300-500
borin
новичок
 
Сообщения: 33
Зарегистрирован: 14 июл 2010, 13:59

Re: PF+MPD5

Сообщение Андрей » 02 мар 2011, 14:57

Порядка 500 сессий.
Вот мой конфиг:
Код: Выделить всё
$ cat pf.conf
table <rfcnets> {10.0.0.0/8, !192.168.1.0/24, 192.168.0.0/16, !172.16.0.0/16, 172.16.0.0/12 }
table <vpn>     persist
#table <vpn>    {172.16.0.0/24}
table <me>      { self, 172.16.0.1}

# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 5 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 1000000, frags 5000 }
set loginterface none
#set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"
#set state-policy if-bound

# Normalization: reassemble fragments and resolve or reduce traffic ambiguities.
scrub in all

#nat on em0 from 172.16.0.0/16 to any -> em0
nat on em0 from 172.16.0.0/24 to any -> 89.***.**.**0
nat on em0 from 172.16.1.0/24 to any -> 89.***.**.**1
nat on em0 from 172.16.2.0/24 to any -> 89.***.**.**2
nat on em0 from 172.16.3.0/24 to any -> 89.***.**.**3
nat on em0 from 172.16.4.0/24 to any -> 89.***.**.**4
nat on em0 from 172.16.5.0/24 to any -> 89.***.**.**5
nat on em0 from 172.16.6.0/24 to any -> 89.***.**.**6
nat on em0 from 172.16.7.0/24 to any -> 89.***.**.**7
nat on em0 from 172.16.8.0/24 to any -> 89.***.**.**8
nat on em0 from 172.16.9.0/24 to any -> 89.***.**.**9
nat on em0 from 172.16.10.0/24 to any -> 89.***.**.*30
#nat on em0 from 172.16.0.0/16 to em0 -> em0

# Разрешаем loopback (а куда без него?)
pass quick on lo from any to any

# ЗДЕСЬ ОПИСЫВАЕМ ВСЕ IN ПРАВИЛА
#запрещаем локальные сети на внешнем интерфейсе
block in quick on em0 from <rfcnets> to any

# Этот блок правил обеспечивает работу только сервисов на самом сервере
# icmp
pass in quick inet proto icmp from any to 10.10.201.201 icmp-type echoreq keep state
#pass in quick inet proto icmp from any to self icmp-type echoreq keep state
# http,https
pass in quick proto tcp from any to 10.10.201.201 port {443, 80} flags S/SA keep state
# dns
pass in quick proto {tcp, udp} from any to <me> port domain flags S/SA keep state
# GRE наружу
pass in quick proto gre from any to <me> keep state
# pptp
pass in quick proto tcp from any to 10.10.201.201 port 1723 flags S/SA keep state

# Все остальное ко мне закрываем нахрен
block in quick from any to <me>

block quick from 172.16.0.0/16 to 172.16.0.0/16
# Разрешаем ВПН
pass in quick inet from <vpn> to any
pass in quick inet from any to <vpn>

# остатки входящего блокируем и логгируем нафиг
block in quick all

# ЗДЕСЬ ОПИСЫВАЕМ ВСЕ OUT ПРАВИЛА
# RFC сети на исходящем интерфейсе??? В песду
block out quick on em0 from <rfcnets> to any

#от меня
pass out quick from <me> to any keep state

# и от клиентов
pass out quick from any to <vpn>
pass out quick from <vpn> to any
# А че на выход не описали - блокируем нах до полного разбора
block out quick all


У меня вот так.
IP я заменил. em0 смотрит наружу, em1 внутрь сети. Снаружи белый ip + алиасы его, внутри 10.10.201.201.
Биллинг скармливает той программке (программка шла с биллингом) ранее указанное правило, которое разрешает/запрещает хождение трафика. Файрволл по умолчанию закрытый.

Если что - я не хотел передавать свои грабли. :lol:
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: PF+MPD5

Сообщение borin » 03 мар 2011, 11:19

/me посмотрел на pf и облизнулся, вот был бы один firewall проблем бы выбора не было :(
borin
новичок
 
Сообщения: 33
Зарегистрирован: 14 июл 2010, 13:59

Re: PF+MPD5

Сообщение Андрей » 03 мар 2011, 12:13

borin писал(а):/me посмотрел на pf и облизнулся, вот был бы один firewall проблем бы выбора не было :(

В бесплатных системах слово "Выбор" и слово сочитание "Проблем бы не было" не совместимо. :lol:
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: PF+MPD5

Сообщение root » 03 мар 2011, 21:23

borin писал(а):/me посмотрел на pf и облизнулся,

а я в очередной раз посмотрел и прослезился :)))
ну его к черту, ipfw рулит
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22

cron