Re: PF firewall

From

Denis Shaposhnikov (2:550/5068)

To

Yuri Chumakov

Date

2006-11-09T12:08:14Z

Area

RU.UNIX.BSD

From: Denis Shaposhnikov <dsh@vlink.ru>

>>>>> "Yuri" == Yuri Chumakov <Yuri_Chumakov@p2.f65.n5079.z2.fidonet.org> writes:

 Yuri> #ext_if="{ xl1, tun0, ng0 }" # external interface name

 Yuri> nat on $ext_if from $internal_net to any -> $ext_if

 Yuri> По понятным причинам, нат нужен на всех 3-х интерфейсах. НО!!! 
 Yuri> Если раскоментировать первую строку, где есть все 3 интерфейса,
 Yuri> то ната не будет нигде, так как ng0 - нет в системе.

Ты точно уверен, что NAT'а не будет НИГДЕ? Берут меня сомнения в
этом. Посмотри `pfctl -sr`, что у тебя получилось вместо твоего
правила `nat on`, после раскрытия списка. Думается мне, белиберда там
получается, 9 правил (при раскомментированном ext_if), вместо 3-х, как
ты, вероятно, хотел. Попробуй заменить эту строку на три отдельных
`nat on`, с явным указанием интерфейса. После этого настрой то, что у
тебя ng0 поднимает, так, что бы оно запускало скрипт после,
установления сессии, из которого ты будет выполнять `/etc/rc.d/pf
reload`.

-- 
DSS5-RIPE DSS-RIPN 2:550/5068@fidonet 2:550/5069@fidonet
xmpp:dsh@vlink.ru mailto:dsh@vlink.ru http://neva.vlink.ru/~dsh/
--- Gnus/5.1007 (Gnus v5.10.7) XEmacs/21.5-b27 (berkeley-unix)
 * Origin: Solar system, Jupiter (2:550/5068@fidonet)
SEEN-BY: 50/12 400/814 450/1024 463/68 464/36 465/213 550/5068 5127 5000/0 20
SEEN-BY: 5000/26 27 61 94 104 116 130 170 5000 5002/76 5002 5004/75 1111
SEEN-BY: 5005/14 5009/14 5010/77 275 5011/13 5012/46 5013/21 5015/28 5019/31
SEEN-BY: 5020/400 545 2238 2395 2871 4441 5021/29 5025/3 5027/12 5029/34
SEEN-BY: 5030/1080 1957 5035/38 5045/7 5054/1 4 8 9 11 28 35 36 37 45 63 66 67
SEEN-BY: 5054/70 75 84 85 5055/37 130 177 5057/119 5059/9 5062/10 5063/3
SEEN-BY: 5064/7 5070/66 5076/1 5077/70 5080/1003 5084/9 5085/13 5090/1029
SEEN-BY: 5095/20 5096/18 6001/10 6055/4 6090/1

PATH: 550/5068 5000/5000 5020/545 5054/1 37