Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
abills:docs:other:nat_pf:ru [2008/03/15 01:11] asmodeus |
abills:docs:other:nat_pf:ru [2015/12/05 17:50] (текущий) |
||
|---|---|---|---|
| Строка 10: | Строка 10: | ||
| Автозагрузка **/etc/rc.conf** добавляем: | Автозагрузка **/etc/rc.conf** добавляем: | ||
| - | pf_enable="YES" | + | pf_enable="YES" |
| - | pf_rules="/etc/pf.rules" | + | pf_rules="/etc/pf.rules" |
| - | pf_flags="" | + | pf_flags="" |
| - | pflog_enable="YES" | + | pflog_enable="YES" |
| - | pflog_logfile="/var/log/pflog" | + | pflog_logfile="/var/log/pflog" |
| - | pflog_flags="" | + | pflog_flags="" |
| - | Файл настроек **pf.rules**: | + | Файл настроек **pf.rules**: |
| - | ext_ip="19х.1хх.хх.хх" # внешний ip-адрес сервера | + | isp1_if="re0" # внешний ip-адрес сервера |
| - | int_if="rl1" # интерфейс смотрящий в локалку | + | int_if="em0" # интерфейс смотрящий в локалку |
| - | int_net_vpn="xx.yy.zz.ff" # внутренняя VPN-сеть | + | int_net_vpn="10.0.0.0/16" # внутренняя VPN-сеть |
| - | local_net="..." # внутрення локалка | + | |
| - | int_ip="..." # внутренний ип в локалке | + | nat on $isp1_if from $int_net_vpn to any -> $isp1_if # собсно NAT |
| - | + | ||
| - | nat on rl0 from $int_net_vpn to any -> $ext_ip # собсно NAT | + | pass quick on lo0 all # разрешаем все на lo0 |
| - | + | ||
| - | pass quick on lo0 all # разрешаем все на lo0 | + | pass quick from $int_net_vpn to any # разрешаем любой траф |
| - | + | pass quick from any to $int_net_vpn # по впн-сети | |
| - | pass quick from $ext_ip to any # Разрешаем траф | + | |
| - | pass quick from any to $ext_ip # на внешнем ip | + | block in all # все осальное блокируем по умолчанию |
| - | + | ||
| - | pass quick from $int_net_vpn to any # разрешаем любой траф | + | |
| - | pass quick from any to $int_net_vpn # по впн-сети | + | |
| - | + | ||
| - | block in quick on $int_if proto { tcp udp } from $local_net to $int_ip port { 2 | + | |
| - | 5 110 143 3128 3306 } # блокируем платные сервисы из локалки | + | |
| - | pass in quick on $int_if from $local_net to $int_ip | + | |
| - | + | ||
| - | block in all # все осальное блокируем по умолчанию | + | |
| + | Перезапускаем сервер | ||
| + | # reboot | ||
| ====Дополнительно==== | ====Дополнительно==== | ||
| * [[http://www.section6.net/wiki/index.php/Setting_up_a_Firewall_NAT_using_PF|Setting up a Firewall NAT using PF | * [[http://www.section6.net/wiki/index.php/Setting_up_a_Firewall_NAT_using_PF|Setting up a Firewall NAT using PF | ||
| ]] | ]] | ||