Regional-de archive
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index][Old Index]

Re: Paketfilter und Routing

Am Dienstag, den 15.12.2009, 23:27 +0100 schrieb S.P.Zeidler:
> Hi,
> 
> Thus wrote Thomas Kaepernick (mast_1%gmx.net@localhost):
> 
> > ext_if="vr0"
> > int_if="{ vr1 vr2 }"
> > int_net="{ vr1:network vr2:network }"
> > 
> > nat on $ext_if inet proto { tcp, udp, icmp } from !($ext_if) to any ->
> > $ext_if
> 
> ok
> 
> > rdr pass on $int_if inet proto { tcp, udp } to $ext_if port 53 ->
> > 127.0.0.1 port 53
> 
> hrm? du biegst jeglichen TCP und UDP-Traffic nach draussen auf 127.0.0.1
> port 53 um?
> 
> versuch doch mal 
> rdr on $int_if proto { tcp, udp } from $int_net to any port 53 -> 127.0.0.1 
> port 53
Ich biege nur den Traffic, der aus dem internen Netz zu einem Nameserver
im Internet will, auf den lokalen Port 53 um. Meine Regel und und Deine
Regel unterscheiden sich nur darin, daà bei Dir auch die Anfragen an den
Router noch mal auf den Router umgebogen werden. Jedenfalls hat die
NamensauflÃsung geklappt, egal ob private oder Ãffentliche Adressen
abgefragt werden.
> 
> > block in all
> > pass out all keep state
> > 
> > pass in on lo all
> > pass in on $int_if inet proto icmp all
> > pass in on $int_if inet proto udp to port 53
> > pass in on $int_if inet proto { tcp, udp } to port ntp
> > #pass in inet proto { tcp, udp } from $int_net to port 631
> > pass in on $int_if inet to $ext_if       
> > pass from vr1:network to vr2:network
> > pass from vr2:network to vr1:network
> 
> brrrr.
> 
> pass quick on lo0
> pass out quick
> 
> block in
> pass in quick on $int_if inet all
> 
> Wenn du eh von den int_if nach Ãberall sonst alles zulassen willst, dann

Also fast Ãberall hin. Mein Anliegen mit den Regeln war, kein Zugriff
auf das System des Routers auÃer die 3 bis 4 Ports Ãbers Netz
zuzulassen. Vor allem kein Login. Es macht ohnehin wenig Sinn, da alles
im Securelevel 2 lÃuft und Arbeiten am System dann Ãber die serielle
Konsole im Single-User-Modus erfolgen muÃ.

Aber ich werde dieses verschlankte Regelwerk ausprobieren. Ich melde
mich, wie erfolgreich ich damit war. 

> schreib das gleich hin (und der Regeln sind zwar nicht viele, aber quick
> ist trotzdem nÃtzlich). keep state ist implizit. pfctl -v -f pf.conf
> ist hilfreich :)
>
> MfG,
>       spz
Home | Main Index | Thread Index | Old Index