Https-problem med OpenBSD-boks som fw.

From: Thomas Alexander Frederiksen (none@thomasaf--mail.tele.dk.lh.bsd-dk.dk)
Date: Mon 03 Mar 2003 - 17:23:57 CET

Next message: Jens Dueholm Christensen: "Re: Https-problem med OpenBSD-boks som fw."
Previous message: Ole Guldberg Jensen: "Re: Trådløs 802.11b/g? PCMCIA kort"
Next in thread: Jens Dueholm Christensen: "Re: Https-problem med OpenBSD-boks som fw."
Reply: Jens Dueholm Christensen: "Re: Https-problem med OpenBSD-boks som fw."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: Thomas Alexander Frederiksen <none@thomasaf--mail.tele.dk.lh.bsd-dk.dk>
To: bsd-dk@BSD-Dk.dk
Subject: Https-problem med OpenBSD-boks som fw.
Date: Mon, 3 Mar 2003 17:23:57 +0100

Endnu en gang sidder jeg med pseudo-store hårtotter i hænderne pga. min
homebanking...

Jeg kan af en eller anden grund ikke komme i kontakt med https-sites, de timer
bare ud - jeg har prøvet at rode ganske meget med min pf.conf, uden dog at
være kommet videre. Jeg er endda gået så vidt som at slå alt andet end NAT
fra, uden at jeg dog er kommet videre. Alle ideer og al kritik af min pf.conf
modtages med glæde!

Her er mit setup:

TDC NE2 ADSL -> SS2601 -> OpenBSD-box -> switch -> diverse maskiner

SS2601'eren er sat til at forwarde alt til OpenBSD-boxen, og burde derfor ikke
gøre andet end vedligeholde PPPoE-forbindelsen.

Her er min pf.conf:

# Normalize: reassemble fragments and resolve or reduce traffic ambiguities

scrub in all

# NAT alt fra 192.168.187.0/24 ud gennem 192.168.1.6.
nat on rl0 from 192.168.187.0/24 to any -> 192.168.1.6

# Så laver vi en brandmur

# Først afskaffer vi spoofede adresse på den externe linie, dog ikke routerens
adresseområde

block in log quick on rl0 inet from { 127.0.0.0/8, 172.16.0.0/12, 10.0.0.0/8 }
to any
block out log quick on rl0 inet from any to { 127.0.0.0/8, 172.16.0.0/12,
10.0.0.0/8 }

# Så blokerer vi for alt det indgående trafik, der ikke laves untagelser for
længere nede + logger en "lille" smule

block in log on rl0 all

# Her lukkes op for port 22, så ssh kan komme til at virke

pass in on rl0 inet proto tcp from any to any port 22 flags S/SA modulate
state

# Den sidste lader udgående trafik passere:

block out on rl0 all
pass out on rl0 inet proto tcp all flags S/SA modulate state
pass out on rl0 inet proto udp all keep state
pass out on rl0 inet proto icmp all keep state

-- 
MVH/Thomas A. Frederiksen
Registered Linux user #168164, http://counter.li.org
http://www.usenet.dk/netikette - på forhånd tak.
LinuxForum 2003, http://linuxforum.dk - see you there!

Next message: Jens Dueholm Christensen: "Re: Https-problem med OpenBSD-boks som fw."
Previous message: Ole Guldberg Jensen: "Re: Trådløs 802.11b/g? PCMCIA kort"
Next in thread: Jens Dueholm Christensen: "Re: Https-problem med OpenBSD-boks som fw."
Reply: Jens Dueholm Christensen: "Re: Https-problem med OpenBSD-boks som fw."
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:27 CET