Сел подумал...
Цитата:
block drop in quick on ! fxp1 inet from 188.231.xxx.xxx/25 to any
block drop in quick inet from 188.231.xxx.xxx to any prio 0
block drop in quick on fxp1 inet6 from fe80::2d0:b7ff:fe16:8b6 to any prio 0
ну это антиспуф х.с.н.
Цитата:
pass all flags S/SA
дефолтный action у ПФ и так "пасс", т.е. оно не надо здесь.
Цитата:
block drop in on fxp1 all
block drop in log quick on fxp1 inet from <__automatic_971e3ec4_0> to any
Ставишь дефолтный action block на внешнем интерфейсе.
Я бы поставил
"block drop log all" для отладки. (удобно смотреть на pflog что заблочилось(ну или pass если не использовать quick))
Цитата:
pass out on fxp1 from <vpn_users> to any flags S/SA nat-to (fxp1) round-robin
НАТиш всё от ВПН пользователей
Цитата:
pass in on fxp0 inet proto tcp from (fxp0:network) to (fxp0) port = pptp flags S/SA
pass in on fxp0 inet proto gre from (fxp0:network) to (fxp0)
Разрешаешь PPTP. Но смысл, если у тебя на интерфесе fxp0 всё разрешено?
Цитата:
pass in on tun inet from <vpn_users> to ! (self) flags S/SA
На интерфейсайх tun, тоже всё разрешено т.е. это правило бесполезно.
Но я бы блочил здесь, т.к. зачем трафик запускать внутрь НАТить, а потом никуда его не пускать.
Т.е. если у тебя дефолтно всё разрешено, то надо блочить (и наоборот)
"block in quick on tun to <tim_ip>"Правда, насколько я помню есть какие-то особенности и с дефолтным ПАСС.
А последнее вообще ненадо. до его не дойдет.
Цитата:
pass out on fxp1 from any to <tim_ip> flags S/SA
Если бы это правило работало, то под его подпадали бы всё из таблицы, за исключением 95.211.162.245.
Т.к. дефолт action block на этом интерфейсе.
Т.е. наобот от того что ты хочешь.
Вход
Регистрация
Поиск
