Re: Q: Firwall

Am 19.02.2002 um 15:40:47 schrieb Heiko Schafberg:

Hallo Heiko,

> 100 divert natd all from any to any via isp0
> 101 allow all froam any to any via lo0
                ^^^^^
> 102 allow all from any to any via ed0
> 103 allow tcp fromany to any out xmit isp0 setup
                ^^^^^^^
> 104 allow tcp from any to any via isp0 established
> 105 allow tcp from any to any 3128 setup

wenn das fuer den squid ist, der auch auf dem Gateway laeuft, wird diese Regel
von lokalen Clients nie erreicht (102 ist schneller). Allerdings oeffnest Du
den Zugriff auf Deinen Proxy von aussen, was Du vermutlich nicht willst.

> 106 reset log tcp from any to any 113 in recv isp0
> 107 allow udp from 192.168.1.100 53 to any out xmit isp0

Du meinst vermutlich
107 allow udp from 192.168.1.100 to any 53 out xmit isp0

> 108 allow udp from any to 192.168.1.100 53 in recv isp0

und hier
108 allow udp from any 53 to 192.168.1.100 in recv isp0

> 109 allow icmp from any to any
> 110 deny log ip from any to any
>
> irgendwo auf der 6xxxx allow all from any to any

wird nie erreicht. 110 faengt alles ab.

> Ping geht raus, wenn ich direkt auf eine IP pinge. Namensauflösung geht
> leider gar nicht.

siehe oben

> 192.168.1.100 ist ein W2k-Server der den DNS lokal
> machen soll und auf Weiterleitung eingestellt ist.

was heisst das?

> Die IP des
> FBSD-Gates ist 192.168.1.1. Hier läuft auch der Squid auf 3128.
> Kann mir jemand sagen, wo der Hund begraben liegt?

scheinen einige Hunde zu sein. Ich habe sicher nicht alle gefunden :).
Es ist ferner hilfreich, Firewall-Regeln zu kommentiern.
Als allgemeine Einfuehrung ist www.freebsd-howto.com/HOWTO/ipfw-HOWTO sehr gut.

hth

/ch

-- 
Wieviele Mitarbeiter von Microsoft benoetigt man fuer das auswechseln
einer defekten Gluehbirne? Keine, Microsoft erklaert die Dunkelheit zum
Marktstandart.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message