Страница 1 из 1

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-29 14:07:06
WideAreaNetwork
на брасе хотел попробовать правило для запрета сайтов, на нем же активный ipfw которым управляет биллинг для доступа в инет юзерам

в файле /etc/pf.conf после секции макросов вставил секцию для таблиц, а именно правило

Код: Выделить всё

table <blocklist>  file "/root/block_dns2"
так же в самом конце конфига после правил ната и пробросов портов прописал правило которое запрещает ресурсы которые есть в таблице

Код: Выделить всё

block in quick on $ext_if from <blocklist> to any
где $ext_if внешний интерфейс, пока в файле одна запись - ukr.net, в таблице есть айпишки

Код: Выделить всё

# pfctl -t blocklist -T show
   212.42.76.252
   212.42.76.253
но к сожалению доступ к сайту не закрыт, он открывается
кусок конфига

Код: Выделить всё

# cat /etc/pf.conf
########        macros section  ########
ext_if = "vlan9"
set limit states 128000
set optimization aggressive


########        table section   ########
table <blocklist>  file "/root/block_dns2"

########        binat section   ########
binat on $ext_if from 192.168.7.25 to any -> X.X.X.X

########        nat section     ########
nat pass on $ext_if from 192.168.7.0/24 to any -> X.X.X.X

########        rdr section     ########
#rdr on tl0 proto tcp from 192.0.2.1 to 24.65.1.13 port 80 -> 192.168.1.5 port 8000

#1C
rdr on $ext_if proto tcp from any to X.X.X.X port 63389 -> 192.168.7.20 port 3389

########        filtering section       ########
block in quick on $ext_if from <blocklist> to any

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-30 12:13:38
Neus
WideAreaNetwork писал(а):
2021-08-29 14:07:06
######## filtering section ########
block in quick on $ext_if from <blocklist> to any
по-моему надо исходящие запросы блокировать, а не входящий трафик...

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-30 12:18:15
WideAreaNetwork
то-есть in сменить на out ? если да то все равно не работает

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-30 12:37:39
Neus
block out quick on $ext_if from any to <blocklist>

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-30 14:31:56
WideAreaNetwork
спасибо большое, помогло
могу попросить объяснить где ошибся? почему надо было во from ставить any , а в to таблицу ?

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-30 15:56:51
Neus
потому что исходящий запрос идет К сайту, а не ОТ него.

Блокировка сайтов средствами PF (packet filter)

Добавлено: 2021-08-30 17:12:11
WideAreaNetwork
спс, теперь понятно