Today Oct 15, 2012 at 10:54 Vasiliy P. Melnik wrote:
> hi all.
>
> На сервере поднято 2 интерфейса $inet_iface, $binet_iface
>
> 1) на текущий момент трафик с разных интерфейсов разруливает pf правилами
> типа:
>
> pass in quick on $inet_iface reply-to ($inet_iface $inet_gw) proto tcp
> from any to $inet_ip port smtp
> pass in quick on $binet_iface reply-to ($binet_iface $binet_gw) proto
> tcp from any to $binet_ip port smtp
>
> Можно как-то глобально прописать роутинг в конфиге pf-а , чтобы не
> нужно было прописывать на каждое правило reply-to, чтоб потом можно
> было просто писать:
>
> pass in quick on $inet_iface proto tcp from any to $inet_ip port smtp
> pass in quick on $binet_iface proto tcp from any to $binet_ip port smtp
Убираем quick, добавляем tag и потом reply-to по нему.
Можно даже правила писать без привязки к интерфейсам:
pass in proto tcp from any to self port {http,https,smtp} allow-opts flags
any tag ACCEPT
....
pass in quick on $inet_iface reply-to ($inet_iface $inet_gw) from !
<directnets> to any tagged ACCEPT allow-opts keep state
pass in quick on $binet_iface reply-to ($binet_iface $binet_gw) from !
<directnets> to any tagged ACCEPT allow-opts keep state
> 2) странная но, логичная особенность:
> вот такое вот правило любой трафик, который приходит на заданный
> интерфейс отправляется на $inet_gw.
>
> pass in quick on $inet_iface reply-to ($inet_iface $inet_gw) proto tcp
> from any to $inet_ip port smtp
> Вопрос один: хочется покрасивее организовать фаервол и писать поменьше
> правил - из-за количества информации ошибки в конфиге появляются, на
> текущий момент для описания одного сервиса приходится писать 5 правил.
В упомянутой выше таблице directnets сети $inet_net, $binet_net и другие для
которых PBR не нужен
--
WNGS-RIPE
