Date: Fri, 22 Dec 2000 09:34:47 +0100 From: Jørgen Frøjk Kjærsgaard <none@jfk--informaticon.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Firewall problem
Jeg har sat en firewall op på en FreeBSD server med to netkort, ed0, der
forbinder til lokalnettet og ed1, der forbinder til en adsl-router. ed1
har tre forskellige adresser, da routerens standardopsætning er sådan,
at mail er .2, web .3 og ftp, dns er .4:
# set these to your outside interface network and netmask and ip
oif="ed1"
onet="192.168.1.0"
omask="255.255.255.0"
oip="192.168.1.3"
oip_mail="192.168.1.2"
oip_ftp="192.168.1.4"
oip_dns="192.168.1.4"
# set these to your inside interface network and netmask and ip
iif="ed0"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.2"
1) Jeg kan ikke få hul igennem til ftp fra ydersiden. Hvor meget skal
der lukkes op for? Følgende er ikke nok (http og mail har jeg fået hul
igennem til ved lignende regler):
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
...
# Allow access to our FTP
${fwcmd} add pass tcp from any to ${oip_ftp} 21 setup
Det fungerer med "OPEN" profilen, så ftp serveren kører og kan nås
gennem routeren.
2) For at få natd til at fungere, har jeg tilføjet reglerne:
${fwcmd} add pass all from ${onet}:${omask} to any via ${oif}
${fwcmd} add pass all from any to ${inet}:${imask} via ${oif}
Jeg er kommet frem til dem ved at eksperimentere. Specielt den sidste
regel virker suspekt, men hvis jeg fjerner den (default er DENY), kan
jeg ikke længere pinge internettet fra intranettet. Hvorfor skal man
kunne sende pakker addresseret til intranettet gennem
internet-interfacet???
/jfk
-- Jørgen Frøjk Kjærsgaard, Systemkonsulent (Systems Consultant) Inform@ticon ApS * Web: www.informaticon.dk * Tlf: 8672 0093 Internet programmering * Systemudvikling på Linux, FreeBSD og PalmOS
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:04 CET