Author Topic: PF pravilo za jedan IP  (Read 3116 times)

Admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 1367
    • http://www.bsdserbia.org
PF pravilo za jedan IP
« on: April 10, 2013, 12:53:35 pm »
Pozdrav svima,

Trebalo bi uskoro da sredujem jednu mrezu pa me zanima da li je moguce izvesti sa PF da odredjeni servisi na Internetu budu dostupni samo odredjenim korisnicima?

Ovo je samo skica pravila sa gateway masine:
Code: [Select]
block log all
pass out quick on $ext_if proto tcp from any to any port { 80 443 }
pass out quick on $ext_if proto tcp from 10.0.0.50 to any port 8000

Dakle, blokirano je sve sto dolazi i odlazi sem onog sto je posebnim pravilima dozvoljeno. No, zelim da pojedini korisnici imaju pristup i drugim servisima sem ovim opstim. Svi bi, naravno, imali potpuno slobodan saobracaj unutar $int_if:network.

If it moves, crypt it. Unless it's static - than you should double-crypt it

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Posts: 969
    • BSDSrbija
Re: PF pravilo za jedan IP
« Reply #1 on: April 10, 2013, 01:19:17 pm »
Jup, može i to, veoma lako; ja obično korstim tagovanje za te potrebe: http://www.openbsd.org/faq/pf/tagging.html - pogledaj i priseti se, recimo, poslednje opcije - pretpostavljam da ti tagovanje po MAC adresi najpre može pomoći u konkretnom slučaju.

Off-topic: upravo čitam man strane i neke tutoriale za IPTables, da bih naučio da postignem neke stvari koje s PF-om idu kao od šale (spamd tarpit) i moram da naglasim da zavidim svakom ko ima luksuz da koristi PF umesto IPTables :)
« Last Edit: April 10, 2013, 01:21:24 pm by Zeleni_Obad »

Admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 1367
    • http://www.bsdserbia.org
Re: PF pravilo za jedan IP
« Reply #2 on: April 10, 2013, 01:22:24 pm »
Da li je onda bolje da upotrebim pass quick za taj jedan IP i da to ide pre block all ili da idem na varijantu da blokiram sve i da onda pustim samo taj jedan IP na nekoliko portova posle svega?

If it moves, crypt it. Unless it's static - than you should double-crypt it

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Posts: 969
    • BSDSrbija
Re: PF pravilo za jedan IP
« Reply #3 on: April 10, 2013, 01:34:01 pm »
Ja obično pratim zvanične preporuke, i koristim prvo quick (pass i/ili block) pa potom block all, i na kraju pojedinačne pass direktive. Verovatno može i na drugi način koji si predložio, ali je prosto stvar navike u pitanju :)

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Posts: 969
    • BSDSrbija
Re: PF pravilo za jedan IP
« Reply #4 on: April 10, 2013, 02:01:43 pm »
Tipujem na antispoof za udp na $ext_if koliziju. Ubo?

soxxx

  • Administrator
  • Hero Member
  • *****
  • Posts: 1438
Re: PF pravilo za jedan IP
« Reply #5 on: April 10, 2013, 02:39:10 pm »
Da, tagovanje iz d vej tu go za to sto tebi treba, ali ako se dobro secam filtriranje po tagovima na OpenBSD radi samo ako je OBSD u bridge modu. Ali ce zato bez problema raditi sa IP adresama.
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

Admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 1367
    • http://www.bsdserbia.org
Re: PF pravilo za jedan IP
« Reply #6 on: April 10, 2013, 03:07:24 pm »
Iz nekog razloga ovo ne radi. Pusta mi port ako se nalazi na listi dozvoljenih portova i dodat u pravilo "any". Ali ako umesto any stavim jedan IP puf - nista.

If it moves, crypt it. Unless it's static - than you should double-crypt it

Oko

  • Administrator
  • Hero Member
  • *****
  • Posts: 992
Re: PF pravilo za jedan IP
« Reply #7 on: April 10, 2013, 03:11:24 pm »
Iz nekog razloga ovo ne radi. Pusta mi port ako se nalazi na listi dozvoljenih portova i dodat u pravilo "any". Ali ako umesto any stavim jedan IP puf - nista.
Jer ti to pises PF za FreeBSD ili na OpenBSD-iju?

Admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 1367
    • http://www.bsdserbia.org
Re: PF pravilo za jedan IP
« Reply #8 on: April 10, 2013, 03:18:04 pm »
Probao na oba. Nece ni na FreeBSD 9.1 ni na OpenBSD 5.1. Mislis da postoji neki razlog zasto ovo ne bi radilo na FreeBSD?

If it moves, crypt it. Unless it's static - than you should double-crypt it

soxxx

  • Administrator
  • Hero Member
  • *****
  • Posts: 1438
Re: PF pravilo za jedan IP
« Reply #9 on: April 10, 2013, 09:11:12 pm »
Mozes li da postavis ceo pf.conf?
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

uporna_neznalica

  • Sr. Member
  • ****
  • Posts: 450
Re: PF pravilo za jedan IP
« Reply #10 on: April 10, 2013, 09:37:31 pm »
Najbolje k'o sto soxxx kaze, daj ceo pf.conf, pa da se (s)igramo.

Oko

  • Administrator
  • Hero Member
  • *****
  • Posts: 992
Re: PF pravilo za jedan IP
« Reply #11 on: April 10, 2013, 09:46:29 pm »
Probao na oba. Nece ni na FreeBSD 9.1 ni na OpenBSD 5.1. Mislis da postoji neki razlog zasto ovo ne bi radilo na FreeBSD?
Moze da postoji mnogo razloga zasto nebi radio na FreeBSD-iju. Poznajuci te sa ovog foruma rekao bih da si oprezan
sa Syntax-om na FreeBSD-iju jer se jako puno promenila. Dokumentacija je pisana za OpenBSD 5.2 ali pretposavljam da
je citas oprezno.

Ono sto mene brine je da za razliku od OpenSSH-a i OpenSMTDp, PF nikad nije pisan sa idejom da radi na drugim operativnim
sistemima. Znam sigurno da ima delova PF koji nerede na FreeBSD-iju zbog razlike u network protocol-ima. Nebi uopste bio
iznenadjen da postoje i FreeBSD specific bugs koji su kreirani portovanjem i kernel/network layer mapping-om.

Zvuci trulo ali moja je filozofija da ako mi treba PF onda cu da picim OpenBSD ili bar da stavim OpenBSD box ispred onog sto
pici nesto drugo. Recimo nisam se ni zanosio da palim PF na DragonFly-u. On je isljucen a vilinski konjic radi iza OpenBSD PF.

Iskren da ti budem mozda je najednostavniji nacin da se testiraju tvoja pravila da ih isprobas na OpenBSD masini...

uporna_neznalica

  • Sr. Member
  • ****
  • Posts: 450
Re: PF pravilo za jedan IP
« Reply #12 on: April 10, 2013, 11:57:08 pm »
... ni na OpenBSD 5.1.

Oko je dao pravo objasnjenje. Moja sugestija je da izvrsise upgrade na 5.2 (cca. 15 minuta ako je firewall onakav kakav treba, samo kernel i base). Mada nisam zapamtio da je bilo nekih velikih promena izmedju 5.1 i 5.2,, ali uputstva su uvek za najnoviju verziju.