Date: Fri, 1 Apr 2005 11:08:30 +0200 From: Sven Esbjerg <none@esbjerg--xbsd.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: pf og (mangel på) kep state på FreeBSD 5.4 prerelease
Først af alt en lille øvelse fra aikido/yoga/etc.
Sæt dig ned og slap af. Træk vejret gennem næsen i en konstant strøm, men du
må ikke bruge andet end maven til at skabe flowet. Hold vejret i kort tid (et
par sekunder eller mere alt efter kondition) og pust det nu ud gennem munden
- igen i en konstant strøm. Prøv at forestil dig at du trækker en tråd ind og
og ud igennem svælget, men den må ikke sluges ej heller blæses ud.
Gentag indtil roen indfinder sig.
Når du nu har stresset af så læser du videre.
On Fri, Apr 01, 2005 at 10:12:15AM +0200, Claus Guttesen wrote:
> Som omtalt i tidligere mail, har jeg læst eksemplerne
> på openbsd.org's sider. Og vha. følgende to regler
> (pr. interface), virker det som ønsket. Reglerne er:
>
> pass out on $ext_if proto tcp all modulate state flags
> S/SA
> pass out on $ext_if proto { udp, icmp } all keep state
>
> Med fire netkort i brandmuren har jeg otte sådanne
> regler.
>
> Det jeg ikke forstår, er at OpenBSD (ellers) er kendt
> for sin meget konsekvente holdning til sikkerhed, som
> bl.a. bevirker at der har været meget få (root)
> exploits i OpenBSD's historie.
>
> At man så - hvad pf angår - af design-mæssige årsager
> (fejl), bliver nød til at lave regler, som tillader
> *al* udgående trafik fra brandmuren, for at få det til
> at flyde, undrer mig. At tillade alt er fint, når du
> har din egen lille maskine, men at tillade al udgående
> trafik fra brandmuren i et firma, er uforståeligt.
Der er intet galt med OpenBSD's PF. Dog er det _ikke_ nemt at lave regler for
mere end 2-3 interfaces. Det du skal tænke på er trafikflow.
For hvert interface har du en indgående strøm og en udgående strøm. Her skal
du så lave regler for hvad du vil tillade som går ind og ud.
Det svære er så at man typisk har regler på et interface som er afhængig af
regler på et andet.
Jeg ynder selv at lave tegninger for de forskellige typer af trafiks flow
over interfaces i firewallen. Ved at visualisere trafikken kan jeg nemmere
forstå regelsættet.
Så nej man behøver ikke at tillade alt udadgående på det yderste interface.
Du skal dog tillade at fx. smtp trafik kommende fra din dmz kan komme ud af
det yderste interface og det kræver selfølgelig at du tænker dig lidt mere
om.
> Suk!
>
> Tilbagemelding og andre tanker på foroven nævnte
> påstande ønskes.
Jeg vil ikke påstå at PF er nemt i mere komplicerede opsætninger, men hvis
man tænker på den "rigtige" måde er det ikke så slemt.
pflog er din ven ;)
Mvh
Sven
-- http://xbsd.net/~esbjerg/esbjerg.gpg - openpgp compliant key
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET