Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm.

From: Henrik Lund Kramshøj (none@hlk--kramse.dk.lh.bsd-dk.dk)
Date: Mon 21 Apr 2003 - 19:57:11 CEST

Next message: Sidsel Jensen: "DTU RoboCup 2003 (off topic)"
Previous message: norgaard@telho.net: "IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
In reply to: norgaard@telho.net: "IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Next in thread: Jesper Louis Andersen: "Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Reply: Jesper Louis Andersen: "Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Mon, 21 Apr 2003 19:57:11 +0200
Subject: Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm. 
From: Henrik Lund Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk

On mandag, apr 21, 2003, at 15:35 Europe/Copenhagen, norgaard@telho.net
wrote:

> Hej,
>
> Jeg har et par problemer med at skrive ip-filter og ip-nat regler.

IPF??

Med frygt for at starte en flamewar, PF OpenBSD Packet Filter er
værd at kigge på - og du kan formentlig bruge dine konfigurationsfiler
næsten uændrede på PF (samlet til een /etc/pf.conf fil med både FW og
NAT)

IPF er "deprecated" på OpenBSD ;-) PF er fremtiden - og jeg kan ikke
vente
til det kommer til Mac OS X (er jo allerede port'et til Free)

>
> 1) Jeg kan se i ipf(5) at ipfilter understøtter en auth, men jeg har
> ingen
> dokumentation på hvordan det i øvrigt virker. Jeg ville gerne bruge den
> funktionalitet til at trådløse klienter (windows - potentielt meget
> onde maskiner :) skulle autensificere før der åbnes gennem firewallen.
Lyder fornuftigt - et trådløst interface er at betragte som værende
usikkert
- kig evt. på at erstatte WEP med IPsec
http://www.allard.nu/pipermail/openbsd-ipsec-clients/ er vist et godt
sted
at finde information af den slags du søger

>
> 2) Hvordan kan man bruge IPNat/rdr så der laves redirect af alle porte,
> uden at jeg skal skrive godt 65000 regler? Pointen er at rdr dermed
> bliver
> det omvendte af map, dvs. nat sker på vejen ind istedet for på vejen ud
> og det er dst ip der omskrives i stedet for src ip.
>
> 3) Flush enkelt state. Jeg ved at IP-Filter ikke understøtter at man
> kan
> flushe kun et enkelt state i state tabellen. Er der nogen der kender en
> util til at sende spoofede icmp-pakker så jeg kan få klienten til at
> tro
> at forbindelsen er blevet lukket?
>
> Håber der er en derude der har det magiske link til noget info...
man pf, kig evt på præsentationen fra Linuxforum 2003 af Daniel
Hartmeier

Mvh

--
Henrik Lund Kramshøj, hlk@kramse.dk
Freelance consultant seeking work, see www.security6.net

Next message: Sidsel Jensen: "DTU RoboCup 2003 (off topic)"
Previous message: norgaard@telho.net: "IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
In reply to: norgaard@telho.net: "IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Next in thread: Jesper Louis Andersen: "Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Reply: Jesper Louis Andersen: "Re: IP-Filter 3.4.31/OpenBSD 3.2: IPNat/rdr, ipf/auth mm."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:28 CET