packetfilter

From: Lasse Thomsen (none@lasse--tt-trading.dk.lh.bsd-dk.dk)
Date: Mon 29 Sep 2003 - 09:24:15 CEST

Next message: Christer Solskogen: "Re: libatk-1.0.so.200 er =?SO-8859-1?Q?v=E6k!!!?="
Previous message: Carsten Jensen: "ipfw FreeBSD 4.8 ftp client"
Next in thread: Sven Esbjerg: "Re: packetfilter"
Reply: Sven Esbjerg: "Re: packetfilter"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Mon, 29 Sep 2003 09:24:15 +0200
From: Lasse Thomsen <none@lasse--tt-trading.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: packetfilter

Hejsa.

Jeg er ved at sætte packetfilter op på min openBSD 3.3 box og jeg syntes
ikke rigtig at kunne får det til at fungere.

Min nuværende configuration ser således ud.

onde-inet <vr0-opbsdbox-xl0> det interne netværk.

Altså min openbsd 3.3 i386 box står og leger router/firewall for en
masse søde små klienter bag ved den. Og det med router fungere faktisk
ok, jeg har blot et problem med selve packetfilteret.

ext_if ="vr0"
int_if ="xl0"
lan_net = "10.0.1.1/8"

#alt der bliver stoppet af en block regl blivet stille droppet
set block-policy drop

#normalisering af packer
scrub in on $ext_if all

#rdr til port 4661
rdr on $ext_if proto tcp from any to any port 4661 -> 10.0.1.3 port 4661

#giv de andre maskiner forbindelse til netværket
nat on $ext_if inet from $lan_net to any -> ($ext_if)

#default deny
block in log on $ext_if all
block out log on $ext_if all

#fri trafik på loopback
pass quick on lo0 all

#fri trafik på det interne nic.
pass in on $int_if all
pass out on $int_if all

#de tilfælde af forbindelse som vi godtager
pass in log on $ext_if proto tcp from any to any port {113,4661} flags
S/SA keep state
pass in log on $ext_if proto tcp from any to $ext_if port {21,22,80}
flags S/SSA keep state
pass in quick on $ext_if all
#de tilfælde af forbindelser ud af maskinen som vi godtager.
pass out quick log on $ext_if proto tcp from $int_if to any port
{110,80} flags S/SSA keep state

Men hvis jeg sætter det her til at køre sådan kan alle mine klienter
stadigvæk smidde alt det ud igennem serveren som de vil, men min openbsd
box kan ikke selv komme på nettet.

Hvis jeg så prøver at sætte pass out quick log in $ext_if på istedet for
den anden med kun port 80 og 110, så kan jeg stadigvæk ikke komme online
med selve min openBSD box. Men sætter jeg også pass in quick log in
$ext_if på, så kan jeg igen fint komme online med programmer på selve
boxen. Hvad er det som jeg har misforstået ved packetfilter?

MVH: Lasse Stig Thomsen

Next message: Christer Solskogen: "Re: libatk-1.0.so.200 er =?SO-8859-1?Q?v=E6k!!!?="
Previous message: Carsten Jensen: "ipfw FreeBSD 4.8 ftp client"
Next in thread: Sven Esbjerg: "Re: packetfilter"
Reply: Sven Esbjerg: "Re: packetfilter"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:31 CET