From: angus@lyons.dk To: bsd-dk@bsd-dk.dk Date: Thu, 7 Mar 2002 21:53:32 +0100 Subject: langhåret IPFW regel søges
Jeg har i al ydmyghed kastet mig over en FreeBSD 4.4 og ville i den
forbindelse bygge en lille firewall.
Som begynder tænkte jeg at det nok ville være smart at nøjes med 4
interfaces :)
Et outside
Et inside
Et dmz
Et wireless
Efter nogen boksen rundt med rc.firewall og et par bevingede
eksempler gik det osse meget fint, men nu skal jeg så til at snige
noget SNMP igennem til/fra min router, der som altså nok osse lige
befinder sig på outside!
Hvordan gør man så lige det ?
Jeg har aldrig før leget med andre firewalls end PIX og Raptor, men
mener nok at det skulle kunne lade sig gøre.
En anden ting er at mine VPN-clients ikke længere kan skyde ud
igennem min firewall.
Jeg bruger Cisco's VPN-dialer v.3.5(A) som understøtter IPSEC
over UDP, dvs. den starter med en IKE på UDP 500, hvorefter den
allokeres en UDP-port fra 10000 til selve tunnelen, jeg mener og tror
at denne UDP 10000+ session initieres fra Concentratoren ud mod
min afsenderIP, men er ikke sikker.
Til gengæld ved jeg at det virker igennem de fleste NAT-ting (
SpeedStream undtaget ).
Jeg håber der er nogen der er bedre til det her end mig, og vil gerne
lige benytte lejligheden til at rose de fleste postere.
Jeg stiller ikke mange spørgsmål selv, men finder tit svar jeg ikke
anede jeg havde brug for når jeg læser de mange posts.
Almindelig surfing, e-mail, ftp osv. virker heeeelt fint
Her er lidt af rc.firewall :
<SNIP>
# Ether13.local.
${fwcmd} add allow all from ${iip} to ${inet}:${imask}
${fwcmd} add allow all from ${inet}:${imask} to ${iip}
${fwcmd} add allow icmp from ${iip} to ${inet}:${imask}
${fwcmd} add allow icmp from ${inet}:${imask} to ${iip}
${fwcmd} add allow all from ${iip} to ${inet}:${imask}
${fwcmd} add allow all from ${inet}:${imask} to any keep-state
${fwcmd} add allow udp from ${inet}:${imask} to any keep-state
${fwcmd} add allow udp from any to ${inet}:${imask}
${fwcmd} add allow icmp from ${inet}:${imask} to any keep-
state
${fwcmd} add allow icmp from ${iip} to ${inet}:${imask}
${fwcmd} add allow icmp from ${inet}:${imask} to ${iip}
# Ether14.local.
${fwcmd} add allow all from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow all from ${dnet}:${dmask} to ${dip}
${fwcmd} add allow icmp from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow icmp from ${dnet}:${dmask} to ${dip}
${fwcmd} add allow all from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow all from ${dnet}:${dmask} to any keep-state
${fwcmd} add allow icmp from ${dnet}:${dmask} to any keep-
state
${fwcmd} add allow icmp from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow icmp from ${dnet}:${dmask} to ${dip}
</SNIP>Lars Angus Lyons
Askevej 42
DK-3630 Jaegerspris
Denmark
Cellphone : +45 2630 5744
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:19 CET