Frantisek Hennel wrote on 06.06.2021 9:53:
Potreboval by som zablokovat pristup na mysql server (port
3306), aby nebol pristupny do internetu a povolit by som chcel
tento port iba pre konkretne IP adresy, pripadne konkretne
subnety.
table <blockedips> persist file "/etc/pf.blocked.ip.conf"
ext_if="em0" # interface connected to internet
block drop in log (all) quick on $ext_if from <blockedips> to any
Ja PF moc nepouzivam, muj favorit je IPFW, al eneni duvod, proc by na
tohle PF neslo pouzit.
Ale logika v tech tvych pravidlech se mi zda byt prevracena oproti tomu,
co jsi popsal slovne.
Slovne jsi popsal, ze chces zablokovat vsechno krome vyjmenovanych
adres/adresnich rozsahu. V pravidlech ale vyjmenovane adresy blokujes,
nikoliv povolujes. Navic v pravidle nezminujes nijak port, takze
blokujes vsechny a jeste filtrovani vazes vyhradne na vnejsi interface,
takze pripadna spojeni richazejici pres jine interface zustavaji
povolena (coz muze a nemusi byt to co chces).
Takze bych to videl spis na
table <mwhite> persist file "/etc/pf.mysqlwhite.ip.conf"
ext_if="em0" # interface connected to internet
pass in quick on $ext_if from <mwhite> to any port 3306
block return in log (all) quick on $ext_if from any to any port 3306
Jak jsme ale rikal, PF nepouzivam, mozna to tedy jde i nejak jeste
efektivneji. On me pripadne nekdo opravi. Zachoval jsme navazani na
vnejsi interface $ext_if, pokud to neni to co chces tak to tam proste
nedavej.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
