https://www.opennet.ru/openforum/vsluhforumID1/96957.html Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется также несколько серверов, которые нужно пускать в мир только на определенные хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам. Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась по FQDN?<br> https://www.opennet.ru/openforum/vsluhforumID1/96957.html#8 Fri, 04 Aug 2017 07:54:25 GMT -Tload Loadonly the table definitions frompf.conf(5).<br> Thisis usedin conjunction with the-f flag, as<br> in:<br><br> # pfctl -Tl -fpf.conf<br><br>&gt; Даже если таблицу брать из файла, то при помощи pfctl нельзя добавлять <br>&gt; записи в этот файл. Короче, буду писать в файл при помощи <br>&gt; какого-нибудь скрипта, после чего буду делать "pfctl -f /etc/pf.conf".<br>&gt; Спасибо за ответы! https://www.opennet.ru/openforum/vsluhforumID1/96957.html#7 Wed, 02 Aug 2017 08:54:30 GMT Даже если таблицу брать из файла, то при помощи pfctl нельзя добавлять записи в этот файл. Короче, буду писать в файл при помощи какого-нибудь скрипта, после чего буду делать "pfctl -f /etc/pf.conf".<br>Спасибо за ответы!<br><br>&gt; Содержимое таблицы можно брать из файла <br>&gt; table &lt;myhosts&gt; persist file "/etc/myhosts" <br>&gt; ну и после уже добавлять записи pfctl -t myhosts -T add ... <br>&gt; или удалять pfctl -t myhosts -T delete ...<br>&gt; также с -T можно использовать и kill и flush и replace https://www.opennet.ru/openforum/vsluhforumID1/96957.html#6 Tue, 01 Aug 2017 15:43:32 GMT &gt; Вносить-то позволяет. Но есть одна проблема: после команды "pfctl -f /etc/pf.conf" таблицы <br>&gt; сбрасываются. В принципе, можно вместо этой команды использовать скрипт, который будет <br>&gt; заполнять таблицы. Но как-то оно некрасиво получается.<br>&gt; Есть какой-нибудь более цивилизованный способ решить задачу?<br><br>Содержимое таблицы можно брать из файла<br>table &lt;myhosts&gt; persist file "/etc/myhosts"<br><br>ну и после уже добавлять записи pfctl -t myhosts -T add ...<br>или удалять pfctl -t myhosts -T delete ...<br><br>также с -T можно использовать и kill и flush и replace<br> https://www.opennet.ru/openforum/vsluhforumID1/96957.html#5 Tue, 01 Aug 2017 14:17:54 GMT &gt; Есть какой-нибудь более цивилизованный способ решить задачу?<br><br>отключить вражеский интернет. диды жили без инета.<br> https://www.opennet.ru/openforum/vsluhforumID1/96957.html#4 Tue, 01 Aug 2017 12:33:55 GMT Вносить-то позволяет. Но есть одна проблема: после команды "pfctl -f /etc/pf.conf" таблицы сбрасываются. В принципе, можно вместо этой команды использовать скрипт, который будет заполнять таблицы. Но как-то оно некрасиво получается. <br>Есть какой-нибудь более цивилизованный способ решить задачу?<br><br>&gt; "pfctl -t add" не позволяет вносить по fqdn? Не на чем попробовать... https://www.opennet.ru/openforum/vsluhforumID1/96957.html#3 Tue, 01 Aug 2017 11:56:10 GMT &gt; Я не точно сформулировал вопрос. Мне нужно, чтобы имена разрешенных хостов были <br>&gt; в единой таблице (ну, чтобы не писать правило для каждого хоста). <br>&gt; Для этого я использую таблицы. Но имена хостов в таблицах PF <br>&gt; не работают.<br><br>"pfctl -t add" не позволяет вносить по fqdn? Не на чем попробовать...<br> https://www.opennet.ru/openforum/vsluhforumID1/96957.html#2 Tue, 01 Aug 2017 10:57:32 GMT Я не точно сформулировал вопрос. Мне нужно, чтобы имена разрешенных хостов были в единой таблице (ну, чтобы не писать правило для каждого хоста). Для этого я использую таблицы. Но имена хостов в таблицах PF не работают.<br>Как красиво решить проблему? Может использовать какой-нибудь внеший механизм для преобразования списка имен хостов в IP-адреса?<br><br>&gt; в 10-ке вроде как теперь можно указывать Полное доменное имя, которое <br>&gt; будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся <br>&gt; в правиле.<br>&gt; Инфа отсюда: <br>&gt; http://skeletor.org.ua/?p=2217 <br>&gt; Если это так, то нужно просто перестартовывать службу PF по запросу или <br>&gt; периодически по крону. https://www.opennet.ru/openforum/vsluhforumID1/96957.html#1 Tue, 01 Aug 2017 09:56:39 GMT &gt; Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется <br>&gt; также несколько серверов, которые нужно пускать в мир только на определенные <br>&gt; хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени <br>&gt; меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам. <br>&gt; Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась <br>&gt; по FQDN?<br><br>в 10-ке вроде как теперь можно указывать Полное доменное имя, которое будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся в правиле.<br>Инфа отсюда:<br>http://skeletor.org.ua/?p=2217<br><br>Если это так, то нужно просто перестартовывать службу PF по запросу или периодически по крону.<br><br><br>