有关PF上网问题,欢迎指正

qdmacat

希望对有这方面需求的兄弟们,有所帮助!!!!!!!!!!!!!

congli

原帖由 HonestQiao 于 2007-1-7 16:05 发表
不错。

如果要复杂一点，甚至要求密码才可以上网，就用squid

用密码上网,是不是只能做对80,443端口有效,那其他服务怎样,如smtp,pop3等?

langue

原帖由 congli 于 2007-1-7 18:41 发表

用密码上网,是不是只能做对80,443端口有效,那其他服务怎样,如smtp,pop3等?

可以另外做成代理，不少杀毒软件就是这样的

CONNECT 命令做代理，还是十分方便的。

congli

原帖由 langue 于 2007-1-7 18:47 发表


可以另外做成代理，不少杀毒软件就是这样的

CONNECT 命令做代理，还是十分方便的。

很少用squid,只知道PF可以authpf来验证,控制客户端是否能使用网关,这样就包括所有服务.
前两天公司的硬墙坏了,现正用FB来做FW,明天打算用authpf来实现验证.

[ 本帖最后由 congli 于 2007-1-7 18:59 编辑 ]

xuzhendong

ext_if = "rl0"    ##外网
nat on $ext_if from $router_ip to any  ->  ($ext_if)      ###让router_ip地址上网
这两个需要改成么？？？tun0

[ 本帖最后由 xuzhendong 于 2007-1-7 23:04 编辑 ]

qdmacat

原帖由 xuzhendong 于 2007-1-7 23:03 发表
ext_if = "rl0"    ##外网
nat on $ext_if from $router_ip to any  ->  ($ext_if)      ###让router_ip地址上网
这两个需要改成么？？？tun0[ ...

完全不需要!!以上实例已经应用到实际生产环境中!tun0 是ADSL设备虚拟网卡,如果你用的是光纤,就不需要加此网卡!pass quick on tun0 all  我已加quick参数所以其它地方都不用改

xuzhendong

请问楼主，你的adsl是固定ip的还是动态的ip？
我试了下好像有问题。(我的adsl是动态的ip)
以下试/etc/pf.conf文件：

ext_if="tun0"  假如换成fxp0的话，防火墙可以ping通外网，但客户机              
                                                      ping不通
int_if="fxp1"
int_addr="192.168.0.0/24"

set block-policy return
set loginterface $ext_if

scrub in all

nat on $ext_if from $int_addr to any -> ($ext_if)

pass in all
pass out all

[ 本帖最后由 xuzhendong 于 2007-1-8 20:25 编辑 ]

新杂人

我试过了, 动态IP没问题.

新杂人

原帖由 xuzhendong 于 2007-1-8 20:15 发表
请问楼主，你的adsl是固定ip的还是动态的ip？
我试了下好像有问题。(我的adsl是动态的ip)
以下试/etc/pf.conf文件：

ext_if="tun0"  假如换成fxp0的话，防火墙可以 ...

ext_if="fxp0"
int_addr="{192.168.0.0/24}"


试一下

congli

原帖由 xuzhendong 于 2007-1-8 20:15 发表
请问楼主，你的adsl是固定ip的还是动态的ip？
我试了下好像有问题。(我的adsl是动态的ip)
以下试/etc/pf.conf文件：

ext_if="tun0"  假如换成fxp0的话，防火墙可以 ...

如果是动态ADSL,FreeBSD拨号,那么PF随系统启动会有问题,因为ext_if="tun0"这句,因为PF在ADSL拨号前启动,tun0应该还不存在,启动PF的最佳时机就是ppp之后,把启动PF的语句写到/etc/ppp/ppp.linkup即可.

ext_if="tun0"导致PF启动有问题,
换成ext_if="fxp0",PF的确可以启动,但会导致网关能ping通,客户机不能ping通.因为PF规则有问题.