SV: pf states på udgående forbindelser

From: Tue Topholm (none@tt--device.dk.lh.bsd-dk.dk)
Date: Fri 01 Dec 2006 - 15:15:32 CET

Next message: Morten Winther: "ffmpeg"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: "Tue Topholm" <none@tt--device.dk.lh.bsd-dk.dk>
To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Subject: SV: pf states på udgående forbindelser
Date: Fri, 1 Dec 2006 15:15:32 +0100

Den er her:

#konfiguration
set limit states 100000
set optimization aggressive

# Interfaces
ext_if = "em0"
int_if = "em1"
fw_if = "em3"

# netvaerk
net1 = "xxx.xxx.xxx.xxx/27"
net2 = "xxx.xxx.xxx.xxx/29"
net3 = "xxx.xxx.xxx.xx/27"
net4 = "xxx.xxx.xxx.xxx/26"

#Servers ip
Linux = "x"
DNS = "x"

#ICMP Types
icmp_types = "echoreq"

#Grupperinger af servere
WWW = "{" $Linux "}"

DNSSE = "{" $DNS "}"

#Lukker alt på det eksterne netkort
pass in quick on $ext_if all
pass out quick on $ext_if all

# Der filtreres på det interne netkort.

# Tillad trafik mellem de to interne segmenter.

pass quick on $int_if inet proto {tcp, udp, icmp} from $net1 to $net2 \
        flags S/SA keep state
pass quick on $int_if inet proto {tcp, udp, icmp} from $net2 to $net1 \
        flags S/SA keep state
pass quick on $int_if inet proto {tcp, udp, icmp} from $net3 to {$net1,
$net2}\
        flags S/SA keep state
pass quick on $int_if inet proto {tcp, udp, icmp} from {$net1, $net2}\
        to $net3 flags S/SA keep state
pass quick on $int_if inet proto {tcp, udp, icmp} from {$net1, $net2,
$net3}\
        to $net4 flags S/SA keep state
pass quick on $int_if inet proto {tcp, udp, icmp} from $net4 to\
        {$net1, $net2, $net3} flags S/SA keep state

#Blokere alt på det indre
block out log on $int_if all

#WWW
pass out on $int_if proto tcp from any to $WWW port http flags S/SA modulate
state

#DNS
pass out on $int_if proto tcp from any to $DNSSE port domain flags S/SA
pass out on $int_if proto udp from any to $DNSSE port domain
pass out on $int_if proto tcp from any to $DNSSE port 8053 flags S/SA
modulate state

#Mail
pass out on $int_if proto tcp from any to $Mail port 110 flags S/SA
pass out on $int_if proto tcp from any to $Mail port 25 flags S/SA
pass out on $int_if proto tcp from any to $Mail port 143 flags S/SA

#Open alt ud
pass in on $int_if proto tcp all modulate state
pass in on $int_if proto udp all modulate state
pass in on $int_if proto icmp all modulate state

Den er lidt nedgraderet, da det er det samme som står i det jeg har udeladt,
bare på nogle andre services.

Med venlig hilsen / Best Regards
Tue Topholm
Device.Webbureau
M: +45 26 74 07 41
P: +45 70 21 00 04
LinkedIN: http://www.linkedin.com/in/ttopholm

-----Oprindelig meddelelse-----
Fra: owner-bsd-dk@hobbes.bsd-dk.dk [mailto:owner-bsd-dk@hobbes.bsd-dk.dk] På
vegne af Martin Toft
Sendt: 30. november 2006 13:14
Til: bsd-dk@bsd-dk.dk
Emne: Re: pf states på udgående forbindelser

On Thu, Nov 30, 2006 at 11:14:38AM +0100, Tue Topholm wrote:
> Hej Alle
>
> Jeg har en udmærket kørende firewall, hvor firewallen kører som en
> transparent firewall. Men jeg er løbet ind i et lille problem Jeg har
> åbnet alt op så man kan komme indefra->ud således.

Jeg kan ikke rigtig regne ud hvad du mener "transparent" her... For det
er vel ikke en bridge?

> pass in on $int_if proto tcp all flags S/SA modulate state
> pass in on $int_if proto udp all modulate state
> pass in on $int_if proto icmp all modulate state

Det er ikke for at lyde tvær, men det ville være langt nemmere at
fejlfinde din konfiguration, hvis du sendte hele din pf.conf med. Evt.
med konkrete adresser lavet om.

> men da jeg har en server der sender imellem 100k-200k emails
> (Nyhedsbreve) ud om dagen, bliver min state-tabel fuldt meget hurtigt
> op, og til sidst lukker alt af både inde og udefra.
>
> Derfor har jeg sat dette:
>
> set limit states 100000
> set optimization aggressive
>
> men synes ikke rigtig det virker.
>
> Det jeg så ville var at fjerne modulate state på alt udgående hvilket
> så resultere at al trafik indefra -> ud bliver blokeret.

Hvis du fjerner modulate state, så er det nok en god ide at skrive keep
state i stedet... Men det fjerner selvfølgelig ikke oprettelsen af
states.

> Jeg har også prøvet bare at kun at fjerne modulate state på mail på
> udgående, men så blokere den bare mail indefra -> ud.
>
> Er der nogen der har en ide om hvad det kan være?
>
> Med venlig hilsen / Best Regards Tue Topholm

Mvh.
Martin Toft

Next message: Morten Winther: "ffmpeg"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Sun 31 Dec 2006 - 23:00:02 CET