Re: ssh (mittels ipfw) von aussen verbieten

On Sat, Dec 29, 2001 at 05:29:50PM +0100, Gordon E. wrote:

> ich verwende fbsd4.4 als gateway,
> gehe über dsl ins netz und möchte ssh
> von aussen verbieten, von internen rechnern
> jedoch erlauben.
> ich habe bereits einige optionen ausprobiert
> ohne wirklich erfolg zu haben.
> mein ruleset besteht momentan lediglich aus einer
> natd-regel (gateway), einer "allow all"-regel und
> der default-regel "deny all".

ohne die genauen Regeln zu kennen, wird Dir kaum jemand
weiterhelfen können ...

Mit den Regeln

| ${fwcmd} add pass tcp from any to any established
| ${fwcmd} add pass all from ${inet}:${imask} 22 to any via ${oif}

erlaubst Du ssh-Verbindungen nach draußen. Dynamisch geht das ganze so:

| ${fwcmd} add pass all from ${inet}:${imask} 22 to any via ${oif} keep-state

Dazu müssen natürlich die Variablen entsprechend gesetzt sein.
Beispiele stehen in /etc/rc.firewall.

> was ist zu tun ??

lesen :-)

> kennt jemand ein brauchbares fbsd-ipfw-tutorial bzw.
> eine quelle für brauchbare rulesets ??

Auf jeden Fall ist die Manual-Seite von ipfw Dein Freund, weiterhin
hat das Handbuch ein Kapitel über Firewalls:

   http://www.de.freebsd.org/de/de/handbook/firewalls.html

Marc Silvers Artikel über Firewalls ist auch zu empfehlen:

   http://www.freebsd.org/doc/en_US.ISO8859-1/articles/dialup-firewall/index.html

OnLamp.com hat gute einführende Artikel zu ipfw:

   http://www.onlamp.com/pub/a/bsd/2001/05/09/FreeBSD_Basics.html

Das sollte die Sache ins Rollen bringen. Wenn Du frisch mit Firewalls
anfängst, ist es vielleicht wichtig zu wissen, das die ganze Thematik
genauso kompliziert ist, wie sie aussieht. Das heißt, um vernünftige
Regeln aufzustellen, brauchst Du auch das Wissen über die beteiligten
Protokolle.

HTH,
Martin

-- 
Marxpitn
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message