Subject: packetfilter From: Lasse Thomsen <none@lasse--tt-trading.dk.lh.bsd-dk.dk> To: bsd-novice@bsd-dk.dk Date: Wed, 24 Sep 2003 14:56:04 +0200
Hejsa.
Jeg er i gang med at sætte min packetfilter op på min Openbsd 3.3 i386
maskine og jeg kan fint få den til at forbyde al trafik ind til boxen
som jeg ikke vil have. Men jeg vi også gerne bestemme hvilken trafik der
må ud igennem min router. Maskinen er nemlig router for et par windows
klienter og et par linux klienter, og specielt windy'erne er jeg lidt
nervøs for bare at give fri adgang ud til verden. En trojan i en mail
ville nemlig ganske hurtigt kunne udnytte det. Derfor vil jeg så prøve
at kun åbne de porte som jeg ved at der er behov for, men her kommer det
store problem så. Hvordan gør jeg det? Jeg har prøvet at lave dem lidt
ala regler for udgående men blot med out.
Men hvis jeg gør det så lukker den bare af for al adgang til internettet
fra maskinerne bag openbsd routeren. Den linie jeg prøver at få til at
virke ser således ud:
pass out on $ext_if proto tcp from $int_if to any port {110} flags S/SSA
keep state
Men hvis jeg så prøver at tjekke min pop3 mail via port 110, så får jeg
bare connection refused, jeg er nød til at have ud gående sat således
for at det vil virke?
pass out on $ext_if all
BTW så har jeg sat en default deny:
block in on $ext_if all
block out on $ext_if all
Og den virker skam fint på min indgående trafik, men jeg må åbenbart
ikke komme ud med regler.
Håber der er nogle som der kan hjælpe.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:08 CET