Subject: Problem med IPFILTER Date: Tue, 31 Aug 2004 13:16:40 +0200 From: "Allan Wermuth" <none@alw--it-service.sdu.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Hej
Jeg er ved, at test IPFILTER på en FreeBSD 5.2.1-Release-p8.
I kernen har jeg tilføjet følgende:
# IPFILTER support
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
I /etc/rc.conf er følgende tilføjet:
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipmon_enable="YES"
ipmon_flags="-Ds"
Firewall reglerne er i /etc/ipf.rules, og de er i vid udstrækning
inspireret af afsnittet om IPFILTER i bogen "Absolute BSD" af
Michael Lucas. Regelsættet er her:
# block garbage
block in log quick from any to any with ipopts
block in log quick proto tcp from any to any with short
# loopback interface
pass in quick on lo0 all
pass out quick on lo0 all
# outbound traffic
pass out on fxp0 all head 100
block out from 127.0.0.0/8 to any group 100
block out from any to 127.0.0.0/8 group 100
block out from any to 130.225.156.24/32 group 100
# inbound traffic
block in on fxp0 all head 200
block in from 127.0.0.0/8 to any group 200
block in from 130.225.156.24/32 to any group 200
pass in quick proto tcp from any to any port = 22 keep state group 200
pass in quick proto udp from any to any port = 514 group 200
block return-rst in log proto tcp from any to any flags S/SA group 200
block return-icmp(net-unr) in proto udp all group 200
<regelsæt slut>
Efter implementering af ovenstående kunne jeg imidlertid ikke få fat i serveren,
og ej heller pinge den. Ved consol'en kunne jeg konstatere, at der ikke var for-
bindelse til nettet.
Jeg har nærlæst regelsættet (der kunne jo være indsneget sig en fejl), men har
ikke rigtig kunnet finde nogen fejl.....
Jeg håber, at én eller anden barmhjertig person med lidt firewall erfaring kan se
hvor fejlen kan være.
mvh
-- Allan Wermuth
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:42 CET