From: "Tue Topholm" <none@tt--device.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Subject: RE: pf og pass Date: Wed, 3 Nov 2004 21:51:11 +0100
Quoting Tue Topholm (tt@device.dk):
> og umiddelbart er der et par fejl:
> pass out on vr0 inet proto tcp from any to 1.2.3.4 port = www keep state
> pass out on vr0 inet proto tcp from any to1.2.3.4 port = 5900 keep state
> pass out on vr0 inet proto tcp from any to 1.2.3.4 port = 5900 keep state
>
> De ovenstående burde jo ikke du.
Hvis jeg forstaar din hensigt med reglerne korrekt, vil du tillade
returpakkerne fra `in'-reglerne. I saa fald skal du bruge `from
1.2.3.4'; dvs. reglen `vender' forkert.
> Mit spørgsmål er så:
>
> Hvorfor hvis jeg gå på webserveren (www), at jeg kan få en pakke tilbage,
> når jeg kun har åbnet indgående og ikke udgåendende..
Quoting Michael):
-Som Claus skriver, skyldes det, du bruger state. Naar forespoergslen
-kommer ind paa firewallen, bliver der oprettet en state entry. Naar
-svarpakkerne kommer, slaar pf op i state table og ser, at pakkerne
-hoerer til en godkendt forbindelse, og derfor bliver de lukket igennem.
Jeg har prøvet at gøre således.
pass in quick on rl0 all
pass out quick on rl0 all
block drop in log on vr0 all
block drop out log on vr0 all <-
pass in on vr0 inet proto tcp from any to 1.2.3.4 port = www keep state
pass out on vr0 inet proto tcp from 1.2.3.4 to any port = www keep state <-
pass in on vr0 inet proto tcp from any to 1.2.3.4 port = 5900 keep state
pass in on vr0 inet proto udp from any to 1.2.3.4 port = 5900 keep state
pass out on vr0 inet proto tcp from 1.2.3.4 to any port = 5900 keep state <-
pass out on vr0 inet proto tcp from 1.2.3.4 to any port = 5900 keep state <-
Og nu har den bare lukket for alt, hvorfor.... kan ikke komme ind på www
mere overhovedet. Jeg har jo åbnet for det... Skal jeg bare droppe mine pass
out eller hvad.
Dem med <- er nye eller rettet.
____________
Virus checked by eXtendia AntiVirus AVK
Version: AVK 15.0.803 from 02.11.2004
Virus news: www.extendiaAVK.com
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET