Dakujem za pomoc, ale nefunguje mi to. table <blockedips> persist file "/etc/pf.blocked.ip.conf" ext_if="em0" # interface connected to internet block drop in log (all) quick on $ext_if from <blockedips> to any pass in quick on $ext_if from 10.1.1.0/24 to ($ext_if) port 3306 block drop in log (all) quick on $ext_if from any to ($ext_if) port 3306
Reloading pf rules. /etc/pf.conf:4: port only applies to tcp/udp /etc/pf.conf:4: skipping rule due to errors /etc/pf.conf:4: rule expands to no valid combination /etc/pf.conf:5: port only applies to tcp/udp /etc/pf.conf:5: skipping rule due to errors /etc/pf.conf:5: rule expands to no valid combination Frantisek ne 6. 6. 2021 o 10:16 Marián Černý <majo-user...@cerny.sk> napísal(a): > Frantisek Hennel wrote: > > Potreboval by som zablokovat pristup na mysql server (port > > 3306), aby nebol pristupny do internetu a povolit by som chcel > > tento port iba pre konkretne IP adresy, pripadne konkretne > > subnety. Vsetky ostatne porty chcem ponechat normalne > > otvorene, len ten jeden port 3306 chcem takto zablokovat. > > > > moj pf.conf vyzera nasledovne: > > > > table <blockedips> persist file "/etc/pf.blocked.ip.conf" > > ext_if="em0" # interface connected to internet > > block drop in log (all) quick on $ext_if from <blockedips> to any > > Na základe Tvojho konfigu by som to rozšíril takto: > > pass in quick on $ext_if from 10.1.1.0/24 to ($ext_if) port 3306 > block drop in log (all) quick on $ext_if from any to ($ext_if) port 3306 > > pass povolí pakety. > quick ukončí spracovanie pri zhode (takže pre subnet 10.1.1.0/24 sa už > nebude pokračovať ďalším pravidlom) > ($ext_if) vezme IP adresu/y na rozhraní. Zátvorky spôsobia update IP > adresy v prípade zmeny IP adresy (v prípade používania DHCP na rozhraní). > Zátvorky je možné odobrať, alebo tam dať konkrétnu IP adresu. > block pravidlo zakáže všetkým ostatným prístup na port 3306. Je potreba, > pretože maš default allow. > > PF nepoužívam primárne, ale keďže je ta otázka taká jednoduchá, tak som si > dovolil odpovedať. Keď tak ešte počkaj na odpoveď niekoho viacej > skúsenejšieho (s PF). Môže sa stať, že tam mám nejakú drobnú chybku. Ale > myslím, že to takto v pohode pobeží. > > > Prosim o usmernenie aj v pripade, ak nie je mozne na tento > > ucel pouzit firewall PF, aj ked urcite uprednostnujem prave > > riesenie cez PF, kedze ho uz dlhsie pouzivam. > > Na tieto triviálne veci môžeš použiť ľubovoľný firewall. PF to samozrejme > musí zvládať tiež. > > Marián > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
