- openbsd 4.6 + pf + списки доступа, reader, 21:01 , 17-Мрт-10 (1)
>[оверквотинг удален] > >pass out quick on $ext_if proto tcp from <clients> to any port www modulate state flags S/SA queue www_out ( это правило работает) > Создаю еще один список work: >table <work> persist file "/etc/work.conf" >и правило для него: > >pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out > и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица ><clients>. >Где-то я туплю ? это делать нужно до nat, на входящем интерфейсе.
- openbsd 4.6 + pf + списки доступа, varag, 14:35 , 18-Мрт-10 (2)
>[оверквотинг удален] >> Создаю еще один список work: >>table <work> persist file "/etc/work.conf" >>и правило для него: >> >>pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out >> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица >><clients>. >>Где-то я туплю ? > >это делать нужно до nat, на входящем интерфейсе. а не могли бы привести пример такого правила ?
- openbsd 4.6 + pf + списки доступа, reader, 16:01 , 18-Мрт-10 (3)
>[оверквотинг удален] >>>и правило для него: >>> >>>pass out quick on $ext_if proto tcp from <work> to any port 22 modulate state flags S/SA queue ssh_out >>> и доступ к ssh получают все , кто прописан в table <clients>. Потому что натится таблица >>><clients>. >>>Где-то я туплю ? >> >>это делать нужно до nat, на входящем интерфейсе. > >а не могли бы привести пример такого правила ? так же как и у вас pass in on $int_if proto tcp from <work> to any port 22 pass in on $int_if proto tcp from <clients> to any port www если это просто шлюз для локалки, то натить лучше все, что бы провайдер не возмущался про адреса от вас. очереди на $ext_if делайте, только без проверка from <...> т.к. адресом источника будет ip = $ext_if
- openbsd 4.6 + pf + списки доступа, varag, 17:11 , 18-Мрт-10 (4)
>[оверквотинг удален] >>а не могли бы привести пример такого правила ? > >так же как и у вас > >pass in on $int_if proto tcp from <work> to any port 22 >pass in on $int_if proto tcp from <clients> to any port www > >если это просто шлюз для локалки, то натить лучше все, что бы >провайдер не возмущался про адреса от вас. >очереди на $ext_if делайте, только без проверка from <...> т.к. адресом источника будет ip = $ext_ifСпасибо. Попробую
|