Netgate SG-1000 microFirewall

Author Topic: При включении NAT не работают правила блокир&  (Read 386 times)

0 Members and 1 Guest are viewing this topic.

Offline Mainfin

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
Здравствуйте, столкнулся со странной и ужасающей проблемой:
При создании NAT и одновременном создании ассоциированного правила, редактирование этого правила (в т.ч. отключение или изменение (!) разрешения) не приводит не к каким изменениям!
Пример:
Создаю NAT 1.2.3.4 tcp/3389 => 192.168.1.1 tcp/3389 (по умолчанию стоит "add associated filter rule")
Автоматически создается разрешающее правило
Затем, меняю правило с "разрешить" на "блокировать" или отключаю его, но ничего не происходит, порт открыт!!!

Это так и должно быть или это страшный баг?

Версия 2.4.2-RELEASE (amd64)
Единственное что обновлялся с версии 2.3 x86 с помощью чистой установки и последующим переносом конфигурации, может в этом дело.
Проверьте пожалуйста у себя.


Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Доброго.
Quote
Затем, меняю правило с "разрешить" на "блокировать" или отключаю его, но ничего не происходит, порт открыт!!!
Вы правило НАТа-то откл\удалите. И будет вам блокировка.

Offline Mainfin

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
werter, спасибо, я уже понял. т.е. это нормальная ситуация?
Я как то привык, что nat - это нат, а правила отдельно. Для меня это было очень неприятной неожиданностью, как-то хочется запрещая трафик ожидать что он будет заблокирован.

Отсюда следующий вопрос: при включении nat 1:1 мы фактически переводим брандмауэр в режим моста? Я уже не смогу создать для транслируемого адреса никаких правил???

Offline derwin

  • Full Member
  • ***
  • Posts: 208
  • Karma: +17/-1
    • View Profile
werter
откуда у тебя столько терпения? удивительно.
Mainfin, нужно понимать, что разрешения на рулесах и правила NAT-а это разные вещи. А ещё нужно резетить текущие стейты.

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Доброго.
откуда у тебя столько терпения? удивительно.

https://www.youtube.com/watch?v=d3tbZ5E0P_s
Системно-сетевой-прАграммист-ааауминяничивониработаит - социально ответственная проффЭсия.

P.s. Вспомнилось. Крайность. Но 80-ый левел же ж - https://lurkmore.to/Ни_единого_разрыва  ;D

Offline Mainfin

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
забавные вы ребята, если нужно не дюжее терпение для ответа на вопросы в форуме, то вы werter, очень выносливый человек, если сумели натерпеть 5000 постов))

По теме, нужно понимать, что у pf своя обособленная идеология. И у большинства все же правила NAT - это правила трансляции, а правила фаервола - это правила фильтрации трафика.
 Мое предыдущее утверждение верно:
Отсюда следующий вопрос: при включении nat 1:1 мы фактически переводим брандмауэр в режим моста? Я уже не смогу создать для транслируемого адреса никаких правил?

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Quote
По теме, нужно понимать, что у pf своя обособленная идеология. И у большинства все же правила NAT - это правила трансляции, а правила фаервола - это правила фильтрации трафика.

Идеология - как у всех никсов.

1-я же ссылка в гугле по rules priority pfsense
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

Quote
Отсюда следующий вопрос: при включении nat 1:1 мы фактически переводим брандмауэр в режим моста? Я уже не смогу создать для транслируемого адреса никаких пр
1-я же ссылка в гугле по nat 1:1 pfsense
https://doc.pfsense.org/index.php/1:1_NAT

У меня просто нечеловеческое терпение  8)

Пользуйте поиск. Или научу. За деньги. Большие.


Offline Mainfin

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
Спасибо.
Мне еще пару уроков иностранного видимо нужно. Я так-то понимаю что такое нат, но из доки так и не понял как управлять трафиком при использовании 1:1.

При этом (возвращаясь к первому посту), если я создаю обычный nat (pat) и автоматически не создаю ассоциированного правила, то в последствии я могу прекрасно управлять правилами создавая и модифицируя их вручную.

ps
pf для меня нов и не привычен, поэтому некоторые вещи кажутся мне нелогичны. А для админа неправильно настроенный фаервол может быть фатален. Поэтому если есть возможность объяснить - было бы здорово.
« Last Edit: December 23, 2017, 03:31:54 am by Mainfin »

Offline rubic

  • Hero Member
  • *****
  • Posts: 727
  • Karma: +118/-0
    • View Profile
забавные вы ребята, если нужно не дюжее терпение для ответа на вопросы в форуме, то вы werter, очень выносливый человек, если сумели натерпеть 5000 постов))

Вертер - робот на платформе FreeBSD. Google: "Робот Вертер". Я сам запустил его лет 10 назад, и он до сих пор работает как часы! И, скажу я вам, работает отлично! Вертер заставляет думать и сомневаться! Вертер включает ваши мозги! Вертер не оставит ваш вопрос без ответа. Он единственный, кто поддерживает жизнь русской ветки. Без сарказма, спасибо Вертер!
Однако, по сути вашего вопроса: port forward работает до firewall, поэтому разрешающее правило необходимо. То, что вы его отключили, а трафик все равно идет, объясняется другими причинами. Вам ведь уже говорили, что нужно сделать reset states?
Пожалуйста не обижайтесь, милый Вертер! Я немного глупо шучу) С наступающим, друзья!

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Доброго.
Ого. Не знаю, что и ответить. Попробую все же https://youtu.be/pzDoUGh1mIE?t=8   ::)

Как для кого, но для меня этот форум - уже больше, чем просто окошко в браузере. Это уже часть моей жизни, что ли.

С наступающим, коллеги! Здоровья, терпения, достатка и МИРА всем-всем на этом голубом шарике  ;)

Offline rubic

  • Hero Member
  • *****
  • Posts: 727
  • Karma: +118/-0
    • View Profile
ХА-ХА-ХА :-)

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1807
  • Karma: +228/-2
    • View Profile
2Rubic
Было бы крайне несправедливо не отметить вашего участия в жизни форума.
Без ваших редких, но чрезвычайно ценных постов многое осталось бы непонятным и нереализованным.

2werter
Как для кого, но для меня этот форум - уже больше, чем просто окошко в браузере. Это уже часть моей жизни, что ли.
Аналогично. Лучше и не скажешь.

Всем добра в новом году.