Date: Sun, 27 Feb 2005 14:43:26 +0100 From: Mikael Syska <none@mikael--syska.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: pf, kan ikke connecte til dem der indenfor firewallen
Tue Topholm wrote:
>>>>Lav en 'arp -na' på det ene net, så skal du se mac-
>>>>
>>>>
>>>og
>>>
>>>
>>>>ip-adresser fra det andet. Hvis ikke, vrker det som
>>>>
>>>>
>>>om
>>>
>>>
>>>>den (firewallen) filtrerer disse oplysninger.
>>>>
>>>>
>>>Hvis jeg laver den, giver mig den mig bare
>>>gateway'ens ip og mac. Men ingen
>>>fra det andet iprange.
>>>
>>>
>
>
>
>>Hvad har du af regler i firewallen? Lav en cut-n-paste
>>af reglerne, og fjern evt. kommentarer.
>>
>>
>
>Her er de så, med lidt kommentare, ved godt de ikke er helt optimeret endnu,
>men det kommer.
>
># Interfaces
>ext_if = "rl0"
>int_if = "vr0"
>
>#Servers ip
>Linux = "213.173.251.138"
>Win = "213.173.251.163"
>
>#Grupperinger af servere
>WWW = "{" $Linux $Win "}"
>
>SSH = "{" $Linux "}"
>MySQL = "{" $Linux $Win "}"
>
>#Lukker alt på det eksterne netkort
>pass in quick on $ext_if all
>pass out quick on $ext_if all
>
>
Ikke at jeg er den klogeste på pf, men overstående lukker for _ALT_ og
du har ikke nogen andre steder du åbner ud til den store verden?
>#Blokere alt på det indre
>block out log on $int_if all
>
>#SSH
>pass out on $int_if proto tcp from any to $SSH port ssh modulate state
>
>#WWW
>pass out on $int_if proto tcp from any to $WWW port http modulate state
>
>#Open alle ud
>pass in on $int_if proto tcp all modulate state
>pass in on $int_if proto udp all modulate state
>
>
mvh
Syska
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:48 CET