Merhaba
Openbsd pf ile ugrasiyorum bu aralar. Nihai amacim 2 linki bir arada
kullanarak 1 ya da 2 ag uzerinde denetim yapmak.
Su anda sadece bir link kullaniyorum.
Epey bir soru var kafamda.Birazini sorayim.
1- Multihomed bir firewall icin gateway tanimlamalari nasil yapilmalidir?
Ben aslinda olayi biraz karistirdim sanirim, hem multihomed hem multipath
birseyler yaptim.
Isler corba oldu.
Soyle ki squid ve dansguardian kullaniyorum. Multihomed olunca paketler
default gatewayden cikiyor.
Istedigim gatewayden cikarmayi basaradim.
pf.conf soyle
ext_ifadsl = "re0"
int_if = "rl1"
localnet = $int_if:network
extnet = $ext_ifadsl:network
ext_ifuydu = "rl0"
genelnet = $ext_ifuydu:network
gw_adsl="192.168.2.1"
gw_uydu="192.168.3.1"
icmp_types= "{ echoreq, unreach }"
tcp_services = "{ smtp,domain,https, http, pop3, auth, pop3s,3128,8080 }"
udp_services = "{ domain,syslog }"
sshport = "{ 22 }"
match out on $ext_ifadsl from $localnet nat-to ($ext_ifadsl)
block all
pass inet proto tcp from { self, $localnet } to port $tcp_services
#pass in on $int_if route-to ($ext_ifadsl $gw_adsl)
# Yukaridaki satir dansguardian ve squid ile calismiyor. Dansguardian ve
squid calisinca paketler default gw den cikiyor.
pass inet proto { tcp,udp } to port $udp_services
pass in on $int_if proto tcp from $localnet to any port www rdr-to
192.168.4.150 port 8080
# Bu satirda dansguardiana yonleniliyor .
pass quick log proto tcp to port $sshport
pass inet proto icmp all icmp-type $icmp_types
$genelnet te nat vs yapilmiyor, onun gwi de farkli, bu boxla bir ilgisi
yok. Sadece $localnet natlaniyor.
cat /etc.hosname.re0
inet 192.168.2.249 255.255.255.0
!route add -mpath default 192.168.2.1
cat /etc.hosname.rl1
inet 192.168.3.150 255.255.255.0
!route add -mpath default 192.168.3.1
cat /etc.hosname.rl1
inet 192.168.4.150 255.255.255.0
# route show
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Prio
Iface
default 192.168.3.1 UGS 0 77748 - 8
rl0
#default gateway bu. Fakat neden onun default oldugunu anlamis degilim.
/etc/mygate dosyasi yok cunku.
default 192.168.2.1 GS 0 0 - 8
re0
loopback localhost UGRS 0 0 33200 8
lo0
localhost localhost UH 3 274424 33200 4
lo0
192.168.2/24 link#1 C 1 0 - 4
re0
192.168.2.1 link#1 HLc 1 0 - 4
re0
192.168.3/24 link#2 UC 3 0 - 4
rl0
192.168.3.1 00:15:a3:e6:64:26 UHLc 1 36 - 4
rl0
192.168.3.13 6c:f0:49:55:55:e7 UHLc 2 5437 - 4
rl0
192.168.3.18 00:1b:24:a5:8f:a6 UHLc 1 685719 - 4
rl0
192.168.4/24 link#3 C 3 0 - 4
rl1
192.168.4.1 link#3 HLc 1 75735 - 4
rl1
192.168.4.17 link#3 HLc 1 1 - 4
rl1
192.168.4.150 00:a1:b0:13:23:e4 UHLc 0 60867 - 4
lo0
base-address.mcast localhost URS 0 0 33200 8
lo0
2- Dansguardianda proxyip = 192.168.4.150 girince calisiyor.
proxyip=127.0.0.1 verince squid access denied aliyorum.
squid 3128 portunda transparan olarak calisiyor.
http_port 3128 transparent
Sadece transparent ekledim baska bir degisiklik yapmadim squid.conf ta.
_______________________________________________
Bsd mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/bsd
