Date: Fri, 31 May 2002 10:39:51 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: ipfilter og FreeBSD 4.5 To: bsd-dk <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej.
Jeg har for over et år siden sat min maskine op med
ipfilter. Dette var på FreeBSD 4.2. Det fungerede
glimrende, indtil FreeBSD 4.4.
Efter at jeg gik op til FreeBSD 4.5 har ipfilter
nægtet at tillade trafik at komme retur. Jeg håbede at
det ville løse sig i FreeBSD 4.6, men Release
Candidate 1-8 har ikke løst problemet.
Jeg kan pinge en ip-adresse, når ipfilter er slået
til, men har problemer med alt andet, der ligger over
lag tre på ISO-modellen. DNS-opslag, ssh etc. fungerer
ikke.
Jeg har ledt vidt og bredt på den officielle ipfilter
side, har støvet diverse mailing-lister igennem, og
har søgt på mange forskellige søgeord på Google. Alt
sammen til ingen nytte.
Jeg kan lave en ssh til localhost, men kan ikke så
meget mere.
Jeg har lagt støtte for ipfilter ind i selve kernen,
og har altså ikke valgt at hente det ind som et modul.
Min opsætning i kernen er:
options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging
options IPFILTER_DEFAULT_BLOCK #block all packets
Min /etc/sysctl.conf:
net.inet.ip.forwarding=1
Min /etc/rc.conf, renset for dild-dald:
ipfilter_enable="YES"
ipfilter_flags=""
ipfilter_program="/sbin/ipf"
ipfilter_rules="/etc/ipf.conf"
Min /etc/ipf.conf:
pass out quick on lo0 all
pass in quick on lo0 all
block in proto tcp all with short
block in quick all with opt lsrr
block in quick all with opt ssrr
block in quick on xl0 from 127.0.0.0/8 to any
block in quick on xl0 from 192.168.0.0/16 to any
block in quick on xl0 from 172.16.0.0/12 to any
block in quick on xl0 from 10.0.0.0/8 to any
block out quick on xl0 from any to 127.0.0.1/8
block out quick on xl0 from any to 192.168.0.0/16
block out quick on xl0 from any to 172.16.0.0/12
block out quick on xl0 from any to 10.0.0.0/8
block in quick on xl0 from any to any
pass out on xl0 proto tcp from any to any keep state
pass out on xl0 proto udp from any to any keep state
pass out on xl0 proto icmp from any to any keep state
Jeg mener at jeg på et tidspunkt i forb. med FreeBSD
RC 4.6, læste en mail på freebsd-stable-listen at
regelsættet til ipfilter var ændret, men kan desværre
ikke finde den igen.
Når jeg manuelt slår ipfilter fra og til med
kommandoen ipf -D/-E, og genindlæser min opsætningen
med 'ipf -Fa -v -f /etc/ipf.conf', kommer der en lang
smøre med hvad den læser ind. Et lille uddrag er:
[pass out quick on lo0 all]
pass out quick on lo0(!) from any to any
[pass in quick on lo0 all]
pass in quick on lo0(!) from any to any
Når jeg vil hente statistik ud af ipfilter, bruger jeg
'ipfstat -hi, og den skriver bla.:
0 pass in quick on lo0 from any to any
Jeg finder det underligt at den blot skriver den ene
regel, nemlig pass in-reglen, men ikke 'pass out'.
Opsætning:
FreeBSD stable 4.6 RC 8, netkort 3c905 (xl0)
Er der et eller andet jeg totalt overser, I do beleive
I'm going slightly mad!
Hilsen
Claus
_____________________________________________________
Følg VM i fodbold på tæt hold fra Yahoo!s officielle VM-side
www.yahoo.dk/vm2002
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:20 CET