Перейти до

SG и PF + BSD5.4


Рекомендованные сообщения

народ! подскажите кто знает или сталкивался

у меня FreeBSD5.4 вместо ipfw стоит pf

сработается ли старгейзер с ним если кто то спаял их все таки было бы неплохо показать пример скрипта или куска файра.....

и еще вопрос.в доках пишется о настройке файра для того чтобы он пропускал запросы для авторизатора и конфигуратора....а если файр сделать символическим?

типа pass all

надо ли дальнейшайя настройка скриптов как написано в доках...?

Ссылка на сообщение
Поделиться на других сайтах
народ! подскажите кто знает или сталкивался

у меня FreeBSD5.4 вместо ipfw стоит pf

сработается ли старгейзер с ним если кто то спаял их все таки было бы неплохо показать пример скрипта или куска файра.....

и еще вопрос.в доках пишется о настройке файра для того чтобы он пропускал запросы для авторизатора и конфигуратора....а если файр сделать символическим?

типа pass all

надо ли дальнейшайя настройка скриптов как написано в доках...?

какой еще pf?

Ссылка на сообщение
Поделиться на других сайтах

Не работал с ним, но считаю, что можно и к нему прикрутить.

Могу подсказать только в общих чертах: поставить что-то типа

(синтаксис ipfw)

deny ip from сетка to any

а OnConnect и OnDisconnect пусть добавляют правила

allow ip from айпишник to any

перед этим правилом.

Или что-то типа этого.

В ipfw можно очень удобно задавать разрешения с помощью skipto.

Не знаю, есть ли в pf аналог этого.

Если есть, то рекомендую использовать его.

Т.е. чтоб при подключении включалось правило, которое не разрешает все айпишнику клиента, а только перепрыгивает запрещение (deny ip from сетка to any).

Это позволит более гибко настраивать, что клиенту можно, а что нет.

Кстати до

deny ip from сетка to any

можно понадобавлять правил типа

allow tcp from сетка to me 53,80

Или использовать ту-же skipto (если есть).

Чтоб какие-то ресурсы сервера были доступны до авторизации.

Тут все дело только в том, что написать в OnConnect и OnDisconnect.

Могу посоветовать хорошо почитать man pf, лучше если на русском языке.

И почитать побольше другой документации по нему.

 

P.S> символический фаер можно.

Только про nat не забудь.

Тогда и система авторизации станет символической.

Поэтому лучше поставить всем AlwaysOnline, чтоб хоть трафик считался.

И советую не забыть, что когда человек при AlwaysOnline выкушает весь свой кредит и на счету у него будет 0, то в инете сидеть он сможет.

А вот stg его трафик считать уже не будет.

Відредаговано XoRe
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...