Re: packetfilter

From: Sven Esbjerg (none@esbjerg--xbsd.net.lh.bsd-dk.dk)
Date: Mon 29 Sep 2003 - 12:59:39 CEST

Next message: Mikkel C. Simonsen: "Backup problemer"
Previous message: Flemming Kraglund: "Re: ipfw FreeBSD 4.8 ftp client"
In reply to: Lasse Thomsen: "packetfilter"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Mon, 29 Sep 2003 12:59:39 +0200
From: Sven Esbjerg <none@esbjerg--xbsd.net.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: packetfilter

On Mon, Sep 29, 2003 at 09:24:15AM +0200, Lasse Thomsen wrote:
> lan_net = "10.0.1.1/8"

Ahøømmm. Enten er dit net 10.0.1.0/24 eller 10.0.0.0/8.

> #default deny
> block in log on $ext_if all
> block out log on $ext_if all

> pass in quick on $ext_if all

Hvorfor blokerer du først alt for at tillade det igen senere?

> #fri trafik på det interne nic.
> pass in on $int_if all
> pass out on $int_if all

Er du sikker på at det er det du vil?

> #de tilfælde af forbindelser ud af maskinen som vi godtager.
> pass out quick log on $ext_if proto tcp from $int_if to any port
> {110,80} flags S/SSA keep state

Du vil vel ikke give adgang fra $int_if, men fra $lan_net.
Prøv at læse PF vejledningen en gang til og se hvad quick gør ved
regelsættet.

> Hvis jeg så prøver at sætte pass out quick log in $ext_if på istedet for
> den anden med kun port 80 og 110, så kan jeg stadigvæk ikke komme online
> med selve min openBSD box. Men sætter jeg også pass in quick log in
> $ext_if på, så kan jeg igen fint komme online med programmer på selve
> boxen. Hvad er det som jeg har misforstået ved packetfilter?

Husk at in og out er set i forhold til din obsd box. in på det eksterne
interface er fra Internet og ind mod det interface. in på det interne
interface er fra dit interne netværk. Det kan snyde mange. Husk også at
reglerne evalueres fra toppen og nedefter. Sidste regel bestemmer altså.
Quick korstlutter dit regelseæt ved den regel. Dvs. regelsættet bliver ikke
evalueret yderligere for en pakke der matcher en quick regel. Pas derfor på
med hvor du sætter dine quick regeler og om du overhovedet har brug for dem.

Jeg kan anbefale at du sætter dig ned og laver en tegning af din obsd box med
interfaces, med farver for hvad der er blokeret og tilladt og pile for
retninger. Prøv derefter med nogle simple regler at se om du har forstået
retning og quick. Lav derefter dit regelsæt.

Mvh.
Sven

-- 
http://www.usenet.dk/netikette - på forhånd tak.

Next message: Mikkel C. Simonsen: "Backup problemer"
Previous message: Flemming Kraglund: "Re: ipfw FreeBSD 4.8 ftp client"
In reply to: Lasse Thomsen: "packetfilter"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:31 CET