Точка доступа с тремя и  более интерфейсами

                      Если  дизайн вашей сети требует, чтобы ваша точка доступа являлась.  кроме  всего прочего,  шлюзом  для  проводной  сети,  или  нескольких   беспроводных  сетей,  вам необходимо произвести незначительные изменения  набора правил. Вместо того, чтобы просто изменить макрос int_if, вы можете добавить ещё одно (описательное) определение

для беспроводного интерфейса, например:

air_if = "ral0"

Ваши беспроводные интерфейсы подобны отдельным подсетям, поэтому  полезно иметь отдельное правило управления NAT для каждого из них. Вот пример для OpenBSD 4.7 и более новых систем:

match out on $ext_if from $air_if:network nat-to ($ext_if)

А для версии pre-OpenBSD 4.7 PF:

nat on $ext_if from $air_if:network to any -> ($ext_if) static-port

В зависимости от вашей политики, вы можете настроить определение localnet, или, по крайней мере, включить $air_if, по мере необходимости, в правила  пропуска. И опять, если  вам  необходима  поддержка  FTP,  нормой  будет  отдельное  правило  пропуска  с перенаправлением для беспроводной сети на ftp-proxy.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий