From: "Bernino Lind" <none@lind--catpipe.net.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Subject: SV: langhåret IPFW regel søges Date: Thu, 7 Mar 2002 22:16:42 +0100
Kære Lars,
Lav en f.eks. en tcpdump eller lav en regel der logger alle ! i
firewallen (alt som ikke er tilladt) idet du skal huske på at al trafik
altså går fra en port og en ip adresse med en protokol til en port og en
ip adresse med en protokol (jeg har dog aldrig hørt om at man kunne
snakke fra en udp til en icmp f.eks. ;-) ). Der er ikke noget voodoo i
det ej heller magi eller skumle langhårede unix teknikere.
Det er ren og skær almindelig købmandsregning: hvis du har taget en
sodavand til 9,95.- ja, så skylder du altså en tier idet vi ikke har
femører, ok?! ;-)
Godt...dine ipfw add allow all from ... to ... er ikke så helvedes
smarte, fordi de jo netop tillader alt. Du er ikke interesseret i at
tillade alt, for så kunne du ligeså godt lade være med at have en
firewall!
I /var/log/ipfw.log vil du efter at have tændt for logging når der er
ulovlig traffik se hvad det er der ikke er tilladt!
//nino
-----Oprindelig meddelelse-----
Fra: owner-bsd-dk@bsd-dk.dk [mailto:owner-bsd-dk@bsd-dk.dk] På vegne af
angus@lyons.dk
Sendt: 7. marts 2002 21:54
Til: bsd-dk@bsd-dk.dk
Emne: langhåret IPFW regel søges
Jeg har i al ydmyghed kastet mig over en FreeBSD 4.4 og ville i den
forbindelse bygge en lille firewall.
Som begynder tænkte jeg at det nok ville være smart at nøjes med 4
interfaces :)
Et outside
Et inside
Et dmz
Et wireless
Efter nogen boksen rundt med rc.firewall og et par bevingede
eksempler gik det osse meget fint, men nu skal jeg så til at snige
noget SNMP igennem til/fra min router, der som altså nok osse lige
befinder sig på outside!
Hvordan gør man så lige det ?
Jeg har aldrig før leget med andre firewalls end PIX og Raptor, men
mener nok at det skulle kunne lade sig gøre.
En anden ting er at mine VPN-clients ikke længere kan skyde ud
igennem min firewall.
Jeg bruger Cisco's VPN-dialer v.3.5(A) som understøtter IPSEC
over UDP, dvs. den starter med en IKE på UDP 500, hvorefter den
allokeres en UDP-port fra 10000 til selve tunnelen, jeg mener og tror
at denne UDP 10000+ session initieres fra Concentratoren ud mod
min afsenderIP, men er ikke sikker.
Til gengæld ved jeg at det virker igennem de fleste NAT-ting (
SpeedStream undtaget ).
Jeg håber der er nogen der er bedre til det her end mig, og vil gerne
lige benytte lejligheden til at rose de fleste postere.
Jeg stiller ikke mange spørgsmål selv, men finder tit svar jeg ikke
anede jeg havde brug for når jeg læser de mange posts.
Almindelig surfing, e-mail, ftp osv. virker heeeelt fint
Her er lidt af rc.firewall :
<SNIP>
# Ether13.local.
${fwcmd} add allow all from ${iip} to ${inet}:${imask}
${fwcmd} add allow all from ${inet}:${imask} to ${iip}
${fwcmd} add allow icmp from ${iip} to ${inet}:${imask}
${fwcmd} add allow icmp from ${inet}:${imask} to ${iip}
${fwcmd} add allow all from ${iip} to ${inet}:${imask}
${fwcmd} add allow all from ${inet}:${imask} to any keep-state
${fwcmd} add allow udp from ${inet}:${imask} to any keep-state
${fwcmd} add allow udp from any to ${inet}:${imask}
${fwcmd} add allow icmp from ${inet}:${imask} to any keep- state
${fwcmd} add allow icmp from ${iip} to ${inet}:${imask}
${fwcmd} add allow icmp from ${inet}:${imask} to ${iip}
# Ether14.local.
${fwcmd} add allow all from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow all from ${dnet}:${dmask} to ${dip}
${fwcmd} add allow icmp from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow icmp from ${dnet}:${dmask} to ${dip}
${fwcmd} add allow all from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow all from ${dnet}:${dmask} to any keep-state
${fwcmd} add allow icmp from ${dnet}:${dmask} to any keep- state
${fwcmd} add allow icmp from ${dip} to ${dnet}:${dmask}
${fwcmd} add allow icmp from ${dnet}:${dmask} to ${dip}
</SNIP>Lars Angus Lyons
Askevej 42
DK-3630 Jaegerspris
Denmark
Cellphone : +45 2630 5744
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:19 CET