帮我看看pf.conf,为啥老错呢？附pf.conf，附图[已解决]

liudew

重新编辑了内核
ident  IN
device pf
device pflog
device pfsync
Options ALTQ
Options ALTQ_CBQ            
Options ALTQ_RED      
Options ALTQ_RIO              
Options ALTQ_HFSC           
Options ATLQ_PRIQ      
Options ATLQ_NOPCC

make buildkernel KERNCONF=IN
make installkernel KERNCONF=IN
reboot

PF的设置：
pf.conf
>>       1 ext_if = "lnc1" #外部接口
>>       2 int_if = "lnc0"  #内部接口
>>       3 localnet = $int_if:network
>>       4 webserver = "{ 10.10.2.2 }"
>>       5 webport = "{ http, https }"
>>       6
>>       7 block in all
>>       8 block out all
>>       9
>>      10 rdr on $int_if proto tcp from $localnet to $int_if port $webport  -> $webserver port $webport
>>      11 pass all
>>      12
>>
>> 这是错误信息：
>>
>> # pfctl -f /etc/pf.conf
>> /etc/pf.conf:10: syntax error
>> pfctl: Syntax error in config file: pf rules not loaded



在这儿，感谢好心人的帮助，谢谢！
问题有几点！
1：block in all 与block out all 就写在 rdr 之后，写在前了，报rules must be in order  规则顺序错！
2：在定义宏时，用$webport = "{ http, https }"  就报错误（syntax error） 我试着用$webport = "{ 80, 443       }" ,也不行！

rar on $int_if proto tcp from $localnet to port 80 -> $webserver port 80  
这样就没问题了，定义宏时要小心！

[ 本帖最后由 liudew 于 2009-5-11 15:29 编辑 ]

liudew

了解PF的请教了....再不搞定快崩溃了！

axlrose

提示第十行出错
>>      10 rdr on $int_if proto tcp from $localnet to $int_if port $webport  -> $webserver port $webport

刚学pf, 我的想法是先不要宏，成功后再用宏来代替

rdr on tl0 proto tcp from 27.146.49.14 to any port 80 -> \
192.168.1.20
rdr on tl0 proto tcp from 16.114.4.89 to any port 80 -> \
192.168.1.22
rdr on tl0 proto tcp from 24.2.74.178 to any port 80 -> \
192.168.1.23

把 5 webport = "{ http, https }" ==>改成   5 webport = " http"  试一下呢

[ 本帖最后由 axlrose 于 2009-5-7 15:22 编辑 ]

liudew

我去掉一些定义的宏，
rdr $int_if proto tcp from 10.10.1.0/24 to $int_if port 80 -> 10.10.2.2 port 80
还是报这个错

liudew

改：rdr   on lnc0 proto tcp from 10.10.1.0/24 to any port 80 -> 10.10.2.2
  
报错：/etc/pf.conf :10:rules must be in order: options,normalization ,queueing ,translation, filtering

[ 本帖最后由 liudew 于 2009-5-7 15:23 编辑 ]

dylibin

rdr on $int_if proto tcp from $localnet to $int_if port $webport  -> $webserver port $webport

没弄明白你的转向应用意图

axlrose

1. 
   
2. int_if = "em0"  #内部接口
   
3. localnet = $int_if:network
   
4. webserver = "{ 10.10.2.2 }"
   
5. webport = "http"
   
6. 
   
7. 
   
8. rdr on $int_if proto tcp from $localnet to $int_if port $webport  -> $webserver port $webport
   
9. pass all
   

复制代码

这样试一下看有没有提示出错？

axlrose

我感觉他后面加的 port好像是多余的
看过pf中文手册，还从来没写过pf规则，正好学习一下

axlrose

>>       1 ext_if = "lnc1" #外部接口
>>       2 int_if = "lnc0"  #内部接口
>>       3 localnet = $int_if:network
>>       4 webserver = "{ 10.10.2.2 }"
>>       5 webport = "{ http, https }"  <<--- 好像要分开, 烂办法，弄成两个独立的
          webport_http = "http"
               webport_https = "https"

>>       6
>>       7 block in all      <<---   #掉它
>>       8 block out all   <<---    #掉它
>>       9
>>      10 rdr on $int_if proto tcp from $localnet to $int_if port $webport  -> $webserver port $webport
>>      11 pass all

rdr on $int_if proto tcp from $localnet to $int_if port $webport_http  -> $webserver port $webport_http

rdr on $int_if proto tcp from $localnet to $int_if port $webport_https  -> $webserver port $webport_https

  你测试一下，我现在用的是ssh,让pf工作就把网给卡住了， 　太菜还不会设置其他的通畅功能

[ 本帖最后由 axlrose 于 2009-5-7 15:30 编辑 ]

liudew

原帖由 axlrose 于 2009-5-7 15:24 发表

int_if = "em0"  #内部接口
localnet = $int_if:network
webserver = "{ 10.10.2.2 }"
webport = "http"


rdr on $int_if proto tcp from $localnet to $int_if port $webport  -> $webserver port $w ...

也不行呀！