From: "Jesper Louis Andersen" <none@jlouis--mongers.org.lh.bsd-dk.dk> Date: Fri, 5 Nov 2004 16:29:34 +0100 To: bsd-dk@bsd-dk.dk Subject: Re: Pf igen igen
Quoting Tue Topholm (tt@device.dk):
Hvor er dine interfaces?
ext_if=fxp0
int_if=fxp1
> #Servers ip'er
> WIN = "1.2.3.4"
> Linux = "2.3.4.5"
>
> #Samling af servers ip'er i grupper
> alle_ssh = "{" $Linux "}"
> alle_vnc = "{" $WIN "}"
> alle_www = "{" $WIN $Linux "}"
Du kan lige saa godt overveje at lave scrubbing her. Det goer at en
raekke pakker der er grimme bliver normaliserede foer de rammer dit
netvaerk:
scrub in
> #Bloker alt
> block log all
Fint.
Hvad med udgaaende pakker? Noget i retning af:
pass out quick keep state
(maybe: pass out quick modulate state)
Men det gaar ikke kun fordi du har et lokalt interface, lo0, du skal
lade komme igennem ogsaa indgaaende. Samtidig saetter vi lige det interne
interface til at acceptere alt og filtrerer saa kun paa det ydre.
pass quick on { lo0, $int_if }
Dernaest kan du lige saa godt rydde spoofing a vejen:
antispoof quick for { lo0, $int_if }
De her skal have ''on $ext_if'' paa allesammen. Den foerste har faaet
eksemplet.
> #SSH
> pass in on $ext_if proto tcp from any to $alle_ssh port ssh flags S/SA modulate state
>
> #VNC
> pass in proto tcp from any to $alle_vnc port 5900 flags S/SA modulate state
>
> #WWW
> pass in proto tcp from any to $alle_www port http flags S/SA modulate state
> Men det virker ikke hvorfor ik det.
Tjah, du skal ogsaa have noget rdr/nat regelvaerk, for ellers bliver data
jo ikke forwardet. Mere laesning af dokumentation for dig.
-- < Keltus> .. now back to reading my /. and compiling my \ l33t gentoo linux which makes it 5000% faster than \ your lame not-even-a-real-OS computer. Uptime: 20000 days, 4 hours
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET