Здравствуйте. UTM 5.2.1-003 на FreeBSD + NAT.
После замены ipfw на PF, перестал считаться трафик.
Делал так:
firewall_type=local
sudo_path=/usr/local/bin/sudo
firewall_path=/usr/local/bin/sudo pfctl
rfw_name=12.34.56.78
core_host=12.34.56.78
core_port=12758
rfw_login=*****
rfw_password=****
После чего, все работает, но ни трафик, собираемый ndsad на данной машине, ни трафик, забираемый get_xyz с роутера, пользователям не начисляется.
Если убрать pf, то с ipfw все работает как надо.
Подскажите, пожалуйста. Может я что упустил.
FreeBSD rfw5 + PF
Да.Что ядро и RFW на одной машине ?
Дай конф PF.
ext_if="em0"
int_if="em1"
table <onip> persist file "/my/myfile"
set optimization aggressive
scrub in on $ext_if all
scrub in all fragment reassemble
nat on $ext_if from <onip> to any -> ($ext_if)
block inet proto tcp
block inet proto udp
pass quick on { lo0, $int_if } all
antispoof for lo0 inet
antispoof quick for { lo $int_if }
pass in on $ext_if inet proto icmp from any to <onip> icmp-type 8 code 0 keep st
ate(max 32)
pass out on $ext_if inet proto icmp from <onip> to any icmp-type 8 code 0 keep s
tate
pass out on $ext_if inet proto udp from <onip> to any keep state
pass out on $int_if inet proto udp from <onip> to any keep state
pass in on $ext_if inet proto {tcp,udp} from any to <onip> flags S/SA modulate state
pass out on $ext_if inet proto {tcp,udp} from <onip> to any flags S/SA modulate state
Ndsad, кстати, заработал. А вот get_xyz вот ни в какую. Скорее всего pf не позволяет.
в правилах лишка есть, перемудрил немного
а сам роутер здесь где? он попадает в таблицу onip?
а сам роутер здесь где? он попадает в таблицу onip?
описание интерфейсов и всякие там переменные
таблица у меня только обратная фаер utm`a запускается с -f -o
и у меня poptop - все, что его касается повыкидывал
scrub in all
nat ...
pass quick on lo0 all
block all
antispoof quick for $int_if inet
pass in quick on $ext_if proto tcp to port ssh keep state
pass inet proto icmp all icmp-type $icmp_types keep state
block quick on $ext_if proto tcp to $ext_if port 3306 # перестраховка на всякий случай
block quick on $int_if proto tcp to $int_if port 3306
pass out keep state
pass in quick on $int_if proto tcp from $int_net to (self) port { https,$utm } keep state
block in quick on $int_if from <noinet> to ! (self)
pass in on $int_if inet from $int_net to ! (self) keep state
и разрешение с роутера собирать траф при необх.
Не забирается трафик с cisco. Все проверил. PF как только не настраивал. Если разрешить на фильтре все, то все получается.antispoof quick for $int_if inet
pass in quick on $ext_if proto tcp to port ssh keep state
pass inet proto icmp all icmp-type $icmp_types keep state
pass out keep state
pass in quick on $int_if proto tcp from $int_net to (self) port { https,$utm } keep state
pass in on $int_if inet from $int_net to ! (self) keep state
Попробовал команду:
localhost# rsh -l user 87.65.43.21 show ip accounting
выдает такое:
select: protocol failure in circuit setup
Это значит только одно - не пропускает pf.
Помогите пожалуйста настроить pf. Нужно чтобы по 514 порту забиралась статистика с cisco.