Re: pf problemer under bridging

From: Allan Jensen (none@unik1971--hotmail.com.lh.bsd-dk.dk)
Date: Thu 29 Apr 2004 - 11:58:22 CEST

Next message: Hroi Sigurdsson: "Re: pf problemer under bridging"
Previous message: Lennart Sorth: "Re: ^_^ meay-meay!"
Maybe in reply to: Allan Jensen: "pf problemer under bridging"
Next in thread: Hroi Sigurdsson: "Re: pf problemer under bridging"
Reply: Hroi Sigurdsson: "Re: pf problemer under bridging"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: "Allan Jensen" <none@unik1971--hotmail.com.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: pf problemer under bridging
Date: Thu, 29 Apr 2004 09:58:22 +0000

Okay. Jeg prøver nu at svare på alle de spørgsmål der er kommet ind til mig.

Jeg har før kørt OpenBSD som firewall med pf. Jeg har før kørt nat uden
nogen nævneværdige problemer. Men jeg har ikke haft mulighed for at hvilken
trafik der løb igennem og om der var nogen som prøvede at lave nogle
indbrud. Derfor ville jeg gerne have et "Intrusion detection system" op og
køre. Her har jeg så valgt Snort.
For at kunne logge den trafik som kommer indefra og ud og den trafik der
kommer udefra og ind har jeg valgt at lægge snort på selv firewallen.
Snort kan kun læse på et netkort (har jeg læst mig til), så vis jeg vil gøre
det på denne måde skal der laves en bridge.
Hvis man kigger i OpenBSD dokumentationen i punkt 6.10 - Setting up a
network bridge in OpenBSD, står der at det inderste netkort ikke skal have
nogen ip-adr., hvorimod det yderste skal.
Med hensyn til filtrering/firewall regler, på bridgen står der også at
kortet på indersiden skal være helt åben og at man skal sætte reglerne på
ydersiden. >> Keep in mind, by the nature of a bridge, the same data flows
through both interfaces, so you only need to filter on one interface. <<

Nu har jeg altså sat den bridge op og ladt alt trafik flyde igennem i
/etc/pf.conf.
Og det virker godt nok. Jeg kan alt på min client (Windows XP).
Jeg var lidt forvirret over hvilken gateway clienten skulle have da jeg
sidder på den interne netkort, som ikke har nogen ip, men til min
overraskelse er det lige meget hvilken ip jeg bruger som gateway. Jeg kan
endda fjerne den helt og stadig browse og tjekke mail. Øhh meget mærkeligt.

Mit andet problem er så, hvis jeg blocker al trafikken og kun lader http og
DNS løbe igennem kan jeg intet gøre.

pf.conf:

# Pass all trafic through em1 (inderside)
pass in quick on em1 all
pass out quick on em1 all

# Block xl0 traffic (yderside)
block in on xl0 all
block out on xl0 all

pass out quick on xl0 proto tcp from any to any port 3128 flags S/SA keep
state
pass out quick on xl0 proto udp from any to any port 53 flags S/SA keep
state

Men dette virker ikke.

Er der nogen der kan give mig nogle gode råd med hensyn til dette?

Takker på forhånd.

/Allan.

_________________________________________________________________
Få alle de nye og sjove ikoner med MSN Messenger http://www.msn.dk/messenger

Next message: Hroi Sigurdsson: "Re: pf problemer under bridging"
Previous message: Lennart Sorth: "Re: ^_^ meay-meay!"
Maybe in reply to: Allan Jensen: "pf problemer under bridging"
Next in thread: Hroi Sigurdsson: "Re: pf problemer under bridging"
Reply: Hroi Sigurdsson: "Re: pf problemer under bridging"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:39 CET