pf and PPPoE

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

pf and PPPoE

Vitaliy Kulchevych
Возникла проблема, юзаю ppp over ethernet, проблема в том, что не могу
подгрузить pf пока не поднимится ppp сессия и не появится
нужный интефейс tun0, который числится  в pf.conf.

Вышел из ситуации через rc.local прописав последовательность
сначала поднятия интерфейса, после pf, НО, если tun0 не поднимается,
то pf висит, причем на долго...

Подскажите, есть ли какие хитрости pf по части ppp интерфейсов?


Reply | Threaded
Open this post in threaded view
|

Re: pf and PPPoE

Oleg Safiullin
Vitaliy Kulchevych wrote:

> Возникла проблема, юзаю ppp over ethernet, проблема в том, что не могу
> подгрузить pf пока не поднимится ppp сессия и не появится
> нужный интефейс tun0, который числится  в pf.conf.
>
> Вышел из ситуации через rc.local прописав последовательность
> сначала поднятия интерфейса, после pf, НО, если tun0 не поднимается,
> то pf висит, причем на долго...
>
> Подскажите, есть ли какие хитрости pf по части ppp интерфейсов?
>
>

Без информации о правилах - данное описание проблемы ровно ничего не дает.
Подозреваю, что в правилах есть строчки вида pass in ... from tun0
если так, то вместо from/to tun0 надо писать from/to (tun0)


Reply | Threaded
Open this post in threaded view
|

Re: pf and PPPoE

Dinar Talypov
On Sun, 27 Jan 2008 19:50:52 +0600
Oleg Safiullin <[hidden email]> wrote:

> Vitaliy Kulchevych wrote:
> > Возникла проблема, юзаю ppp over ethernet, проблема в том, что не могу
> > подгрузить pf пока не поднимится ppp сессия и не появится
> > нужный интефейс tun0, который числится  в pf.conf.
> >
> > Вышел из ситуации через rc.local прописав последовательность
> > сначала поднятия интерфейса, после pf, НО, если tun0 не поднимается,
> > то pf висит, причем на долго...
> >
> > Подскажите, есть ли какие хитрости pf по части ppp интерфейсов?
> >
> >
>
> Без информации о правилах - данное описание проблемы ровно ничего не дает.
> Подозреваю, что в правилах есть строчки вида pass in ... from tun0
> если так, то вместо from/to tun0 надо писать from/to (tun0)

А может проще, фильтровать по группе tun :)

--
Динар Талыпов
т.+7(8555) 455010
ООО "Камател-Янтел"


Reply | Threaded
Open this post in threaded view
|

Re: pf and PPPoE

Oleg Safiullin
> А может проще, фильтровать по группе tun :)

Ну это от конкретного случая зависит :)
По мне так проще вообще tun не использовать для pppoe :)


Reply | Threaded
Open this post in threaded view
|

Re[2]: pf and PPPoE

Vitaliy Kulchevych
Здравствуйте, Oleg.

Вы писали 28 января 2008 г., 8:08:51:

>> А может проще, фильтровать по группе tun :)

> Ну это от конкретного случая зависит :)
> По мне так проще вообще tun не использовать для pppoe :)

root@mail ~ # cat /etc/pf.conf

#macros
ext_if = "tun0"
int_if = "vr0"
port_nat = "{ ssh, pop3 }"
local_services = "{ftp, ssh}"
icmp_types = "echoreq"

#options
set skip on lo

#normalization
scrub in all

#nat/rdr
nat on $ext_if from $int_if to any port $port_nat -> ($ext_if:0)

#filter
block in all
block out all

pass out keep state

antispoof quick for { lo $int_if }

pass in on $ext_if inet proto tcp from any to ($ext_if) \
    port $local_services flags S/SA keep state

pass quick on $int_if





--
С уважением,
 coolchevy                          mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: pf and PPPoE

Oleg Safiullin
coolchevy wrote:
> Здравствуйте, Oleg.
>
> Вы писали 28 января 2008 г., 8:08:51:
>
>>> А может проще, фильтровать по группе tun :)
>
>> Ну это от конкретного случая зависит :)
>> По мне так проще вообще tun не использовать для pppoe :)
>

Кстати вспомнил одну вещь - pfctl при подгрузке правил тормозил если были проблемы с ресолвингом hostname в IP или что-то в этом
роде. Решалось прописыванием в hosts адреса, соответствующего hostname и директивы "lookup file bind" в /etc/hosts.


Reply | Threaded
Open this post in threaded view
|

Re: pf and PPPoE

Oleg Safiullin
> директивы "lookup file bind" в /etc/hosts.

в resolv.conf всмысле - отвлекают тут... :)


Reply | Threaded
Open this post in threaded view
|

Re[2]: pf and PPPoE

Dmitry Moshkov
Здравствуйте, Oleg.

Вы писали 28 января 2008 г., 13:20:01:

>> директивы "lookup file bind" в /etc/hosts.

> в resolv.conf всмысле - отвлекают тут... :)


Вопрос в догонку, а как заставить dhclient не переписывать строку
"lookup file bind" в /etc/resolv.conf когда адрес по dhcp берется?

--
С уважением,
 Dmitry Moshkov                          mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: pf and PPPoE

Oleg Safiullin
Dmitry Moshkov wrote:

> Здравствуйте, Oleg.
>
> Вы писали 28 января 2008 г., 13:20:01:
>
>>> директивы "lookup file bind" в /etc/hosts.
>
>> в resolv.conf всмысле - отвлекают тут... :)
>
>
> Вопрос в догонку, а как заставить dhclient не переписывать строку
> "lookup file bind" в /etc/resolv.conf когда адрес по dhcp берется?
>

Создать /etc/resolv.conf.tail с этой строчкой (и какими еще хочется) - он допишет их в конец resolv.conf.