Re: Q: Firwall

From: Heiko Schafberg <webmaster(at)heiko-schafberg.de>
Date: Tue, 19 Feb 2002 19:16:33 +0100 (MEZ)

Hallo

>> 100 divert natd all from any to any via isp0
>> 101 allow all froam any to any via lo0
>> 102 allow all from any to any via ed0
>> 103 allow tcp fromany to any out xmit isp0 setup
>> 104 allow tcp from any to any via isp0 established
>> 105 allow tcp from any to any 3128 setup
>> 106 reset log tcp from any to any 113 in recv isp0
>> 107 allow udp from 192.168.1.100 53 to any out xmit isp0
>> 108 allow udp from any to 192.168.1.100 53 in recv isp0
>> 109 allow icmp from any to any
>> 110 deny log ip from any to any
>> irgendwo auf der 6xxxx allow all from any to any
>Da sind haufenweise Fehler drin (abgesehen von den Tippfehlern).
>1. setup und established sind in zeiten von keep-state mehr als
> fraglich.
>2. DNS ist mehr als nur udp.
> Selbst UDP Antworten dürfen da nur durch, wenn du einen internen
> DNS als forwarder auf dem Router unter Port 53 laufen hast der
> *nicht* auf dem Router läuft.
> Aber Anfragen dürfen ja eh nicht raus.
>3. Du erlaubst Verbindungen von außen auf deinen proxy port 3128.
>4. Es fehlen Anti Spoof Regeln.
>5. Du wirst bestimmt keine Packete von 192.168.* über isp0 senden,
> da die ja schon über den natd umgesetzt wurden.
> Deshalb dürfen auch keine DNS Anfragen per UDP raus.

Danke für die Kritik, aber ein paar praktische Tips wäre auch nicht
schlecht.
Ich will ja nur, daß alles über den Proxy auf dem Gategeht und der DNS
seine Anfragen durchbekommt.

Danke
Heiko

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 19 Feb 2002 - 19:20:53 CET

search this site