FreeBSD 7.0 pf problemer

From: Robert Jeppesen (none@robert--sermilik.dk.lh.bsd-dk.dk)
Date: Tue 23 Sep 2008 - 12:40:00 CEST


Date: Tue, 23 Sep 2008 12:40:00 +0200 (CEST)
Subject: FreeBSD 7.0 pf problemer
From: "Robert Jeppesen" <none@robert--sermilik.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk

Har opsat en mailgateway der har det ene ben på public net a.b.c.d og det
andet ben på private net f.g.h.i
Gatewayen kører spamd/pf samt maia-mailguard og skal relay'e til vores
interne mailserver. Udgående mail skal også gennem gatewayen.
Default gateway i public net og dns/ntp på private net

Jeg har pt. følgende pf.conf:
ext_if = "em1"
int_if = "em0"
internal_net = "{ f.g.h.0/24 }"
tcp_int_services = "{ smtp, ssh, domain, www }"
udp_int_services = "{ domain, ntp }"
scrub in
antispoof for $ext_if
antispoof for { lo0 $int_if }

block on $int_if from any to any
pass on $int_if proto tcp from $internal_net to any port $tcp_int_services
pass on $int_if proto { tcp, udp } to any port $udp_int_services

block in on $ext_if from any to any
pass in on $ext_if proto tcp from any to any port 80
pass on $ext_if proto tcp from any to any port smtp

Meningen er at der fra public net kun er adgang til smtp. Har checket fra
en ekstern maskine med smtp og nmap - den del virker.
For gatewayen selv troede jeg 'pass in on $ext_if proto tcp from any to
any port 80' ville tillade indgående http trafik - udgående er jo ikke
blokeret, eller er det? Meningen er selvfølgelig at spamd kan hente en en
trapliste med 'ftp -V -o - http://www.openbsd.org/spamd/traplist.gz'

Hvad gør jeg galt?
/Robert



This archive was generated by hypermail 2b30 : Tue 30 Sep 2008 - 23:00:01 CEST