July 21st, 2012 
admin
Когда интерфейсы настроены, пришло время приступить к настройке пакетного фильтра шлюза точки доступа. Вы можете начать с копирования базовой конфигурации сделаной для шлюза в Главе 3. Включите шлюз посредством внесения записей в файлы sysctl.conf или rc.conf, а затем скопируйте файл pf.conf. Некоторые части, зависимые от предыдущей главы, могут быть весьма полезны, и ваш файл pf.conf может выглядеть примерно так:
ext_if = "re0" # macro for external interface – use tun0 or pppoe0 for PPPoE int_if = "re1" # macro for internal interface
localnet = $int_if:network
client_out = "{ ssh, domain, pop3, auth, nntp, http,\ https, cvspserver, 2628, 5999, 8000, 8080 }" udp_services = "{ domain, ntp }"
icmp_types = "{ echoreq, unreach }"
# ext_if IP address could be dynamic, hence ($ext_if) match out on $ext_if from $localnet nat-to ($ext_if) block all
pass quick inet proto { tcp, udp } from $localnet to port $udp_services pass log inet proto icmp icmp-type $icmp_types
pass inet proto tcp from $localnet port $client_out
Если вы запускаете версию PF эквивалентную OpenBSD 4.6 или ранее, правило соответствующее nat-to становится таким:
nat on $ext_if from $localnet to any -> ($ext_if)
Различие заключается в том, что для работы точки доступа необходимо изменение определение int_if, для его соответствия беспроводному интерфейсу. В нашем случае, макрос должен выглядеть так:
int_if = "ral0" # macro for internal interface
С большой долей вероятности, вы захотите настроить dhcpd для обслуживания адресов и другой связанной сетевой информации для клиентов точки доступа. Настройка dhcpd – операция достаточно простая, если вы ознакомитесь с соответствующей страницей руководства.
Собственно, это всё, что необходимо сделать. Данная конфигурация предоставит вам функциональную точку доступа, с некоторой безопасностью WEP, или чуть более
надёжной WPA. Если вам требуется поддержка FTP, скопируйте конфигурацию ftp-proxy
созданную в главе 3 и произведите соответствующие изменения, аналогичные тем, которые вы сделали для остального набора правил.
Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo
Опубликовано в рубрике 
Метки: