© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, Feb 19, 2002 at 03:40:47PM +0100, Heiko Schafberg wrote:
> Hallo
>
> Ich habe von jemanden aus der Liste Tips für die ipfw-Regeln bekommen
> und folgendes umgesetzt:
>
> 100 divert natd all from any to any via isp0
> 101 allow all froam any to any via lo0
> 102 allow all from any to any via ed0
> 103 allow tcp fromany to any out xmit isp0 setup
> 104 allow tcp from any to any via isp0 established
> 105 allow tcp from any to any 3128 setup
> 106 reset log tcp from any to any 113 in recv isp0
> 107 allow udp from 192.168.1.100 53 to any out xmit isp0
> 108 allow udp from any to 192.168.1.100 53 in recv isp0
> 109 allow icmp from any to any
> 110 deny log ip from any to any
>
> irgendwo auf der 6xxxx allow all from any to any
>
> Das letzte sollte zwar deny werden, aber das dürfte nichts mit meinem
> Problem zu tun haben.
> Ping geht raus, wenn ich direkt auf eine IP pinge. Namensauflösung geht
> leider gar nicht. 192.168.1.100 ist ein W2k-Server der den DNS lokal
> machen soll und auf Weiterleitung eingestellt ist. Die IP des
> FBSD-Gates ist 192.168.1.1. Hier läuft auch der Squid auf 3128.
> Kann mir jemand sagen, wo der Hund begraben liegt?
Da sind haufenweise Fehler drin (abgesehen von den Tippfehlern).
1. setup und established sind in zeiten von keep-state mehr als
fraglich.
2. DNS ist mehr als nur udp.
Selbst UDP Antworten dürfen da nur durch, wenn du einen internen
DNS als forwarder auf dem Router unter Port 53 laufen hast der
*nicht* auf dem Router läuft.
Aber Anfragen dürfen ja eh nicht raus.
3. Du erlaubst Verbindungen von außen auf deinen proxy port 3128.
4. Es fehlen Anti Spoof Regeln.
5. Du wirst bestimmt keine Packete von 192.168.* über isp0 senden,
da die ja schon über den natd umgesetzt wurden.
Deshalb dürfen auch keine DNS Anfragen per UDP raus.
-- B.Walter COSMO-Project http://www.cosmo-project.de ticso(at)cicely.de Usergroup info(at)cosmo-project.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 19 Feb 2002 - 18:10:56 CET