Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

PF + NAT problem....

1
Skriv svar
Permalänk
Medlem

PF + NAT problem....

Jag har försökt få igång pf på min fbsd-burk men inte utan problem.
NAT funkar bra tills jag skriver in sista block regeln som blockar allt.
Tydligen ska jag omdirigera nåt men jag vet inte hur jag ska göra det.
Nån som har nån lösning?

Bifogar min pf.conf:

#####################################################
nat on rl0 proto {tcp udp icmp} from 192.168.0.2 to any -> aa.bb.cc.dd

# intern trafik
pass in quick on rl2 inet from 192.168.0.1 to 192.168.0.2 keep state
pass out quick on rl2 inet from 192.168.0.1 to 192.168.0.2 keep state

#loopback
pass in quick on lo inet from any to any
pass out quick on lo inet from any to any

# apache till/från server
pass in log quick on rl0 inet proto tcp from any port 80 to aa.bb.cc.dd port 80 keep state
pass out log quick on rl0 inet proto tcp from any port 80 to aa.bb.cc.dd port 80 keep state

# ssh till/från server
pass in log quick on rl0 inet proto tcp from any port XXXXXX to aa.bb.cc.dd port XXXXXX keep state
pass out log quick on rl0 inet proto tcp from any port XXXXXX to aa.bb.cc.dd port XXXXXX keep state

block in log quick inet from any to any
block out log quick inet from any to any

Redigera
Citera flera Citera
Permalänk
Medlem

Kolla igenom hur dem gjort här:

http://www.openbsd.org/faq/pf/example1.html

Ditt exempel var lite knasigt.

Visa signatur

Asus Maximus II formula, E8400 @ 3.9GHz, 4GB Dominator DDR2, Radeon HD4850.

Redigera
Citera flera Citera
Permalänk
Medlem

block ska ligga före pass, så att du först blockar allt sedan tillåter du några saker. Sen så borde du väl ändå ha en pass out-rad för ditt externa kort mot internet?
typ
pass out on rl0 inet proto { tcp, udp, icmp } from aa.bb.cc.dd to any keep state

då borde det funka...

EDIT ta bort quick på alla och sätt dom i rätt ordning, då behövs inte quick alls, och det är lättare att få någon ordning på det.

Visa signatur

IBook G4 12" | 1.5GB | 120Gb | OS X 10.4.9 / Ubuntu
C2D E6400@2.8GHz | 2GB | 1,7TB | Gentoo
1700+@2400MHz | KD7-RAID | 1,25GB | Win2k

Redigera
Citera flera Citera
Permalänk
Medlem

Nu har jag förenklat den temporärt men det funkar ändå inte.
För övrigt så använde jag fwbuilder för att generera pf.conf

####################################################
nat on rl0 proto {tcp udp icmp} from 192.168.0.2 to any -> aa.bb.cc.dd

block in inet from any to any
block out inet from any to any

# Allow traffic internally from/to server
pass in on rl2 inet from 192.168.0.1 to 192.168.0.2 keep state
pass out on rl2 inet from 192.168.0.1 to 192.168.0.2 keep state

pass out on rl0 inet proto { tcp, udp, icmp } from aa.bb.cc.dd keep state

Redigera
Citera flera Citera
Permalänk
Medlem

fwbuilder gör isf ett jävla sämst jobb. Utnyttjar inte macron alls, vilket kommer förenkla hela processen avsevärt om du någonsin ändrar något.

http://exet-upload.mine.nu/upl/Admin/pf.confh4x

Sådär ser mina regler ut.

Visa signatur

Asus Maximus II formula, E8400 @ 3.9GHz, 4GB Dominator DDR2, Radeon HD4850.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Här finns en mycket bra guide till pf för folk som inte använt det förut.
Läs den och skapa för hand ett regelverk som du själv förstår, det blir både säkrare och roligare.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara