Re: pf og pass

From: Michael Knudsen (none@e--molioner.dk.lh.bsd-dk.dk)
Date: Wed 03 Nov 2004 - 22:47:41 CET

Next message: Tue Topholm: "RE: pf og pass"
Previous message: Tue Topholm: "RE: pf og pass"
In reply to: Tue Topholm: "RE: pf og pass"
Next in thread: Tue Topholm: "RE: pf og pass"
Reply: Tue Topholm: "RE: pf og pass"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Wed, 3 Nov 2004 22:47:41 +0100
From: Michael Knudsen <none@e--molioner.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: pf og pass

Quoting Tue Topholm (tt@device.dk):
> -Hvis du nu fortaeller, hvordan dit netvaerk er bygget op, og hvilke
> -forbindelser (ikke _pakker_) du vil tillade fra den ene og den anden
> -side af firewallen, kan vi nok bedre hjaelpe dig.

Du har en irriterende maade at citere/svare paa, men nok om det.

Jeg ville i oevrigt gerne have en forklaring i tekst, ikke i regler, om
hvad du vil opnaa. Hvad er firewallens opgave? Hvor bruger du den? Hvad
skal den beskytte, og fra hvem?

Inde i dit hovede er det sikkert ganske indlysende, men der findes 2000
og lidt til maader at anvende en firewall paa, og jeg ved ikke, hvilken
du har i tankerne.

> server = "1.2.3.4"
> #Det jeg vil er at lukke alt op på rl0
> pass in quick on $ext_if all
> pass out quick on $ext_if all

Er du _helt_ sikker paa, at du vil tillade _alt traffik_ paa dit
_eksterne interface_?

Hvis det er, hvad du vil, saa brug dog state, som du faar faaet at vide
tre gange allerede:

pass in quick on $ext_if all flags S/SA modulate state

> #lukke alt på vr0:
> block drop in log on $int_if all
> block drop out log on $int_if all

Lad vaere med lave to regler og at saette retning paa, hvis reglen skal
gaelde for baade ind- og udgaaende trafik:

block drop log on $int_if

> ***** Skal jeg have den med, den sidste af dem ***

Det afhaenger jo helt af, hvad du vil opnaa.

> #Så vil jeg lukke op for port 80 (http)

For hvem?

> pass in on $int_if proto tcp from any to $server port = http modulate state

Forstaar du helt praecist, hvad den regel goer?

> Men så er mit spg. skal jeg også åbne op, så den kan sende ud.
> pass out on $int_if proto tcp from $server to any port = http modulate state
> nu hvor jeg har:
> block drop out log on $int_if all

http://www.openbsd.org/faq/pf/filter.html#state

Laes og forstaa det der.

-- 
Winter meant the coming of the lazy wind, which couldn't be bothered to
blow around people and blew right through them instead.
-- (Terry Pratchett, Wyrd Sisters)

Next message: Tue Topholm: "RE: pf og pass"
Previous message: Tue Topholm: "RE: pf og pass"
In reply to: Tue Topholm: "RE: pf og pass"
Next in thread: Tue Topholm: "RE: pf og pass"
Reply: Tue Topholm: "RE: pf og pass"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET