Re: Transparent proxy rules (fwd)

On Fri, May 03, 2002 at 11:11:23AM +0200, Peter Ross wrote:
> Hallo,
>
> nachfolgende Mail hängt antwortlos seit drei Tagen bei freebsd-security
> und hat mich reichlich stutzig gemacht. Ich wäre auch der Meinung, daß die
> erste Zeile für die Unerreichbarkeit der zweiten sorgen würde. Liege ich
> da falsch?

Nein - du liegst da richtig.
Eine TCP session sollte durch die erste Rule als Erlaubt behandelt
werden und die Suche bricht an der Stelle ab.
Andere Packete wie icmp, ... wandern natürlich weiter, was die
Aussage, das die erste Zeile die Firewall quasi abschaltet falsch
macht.
In der Mail fehlen auch Versionsangaben und ipfw show Ausgaben
mit Zeilennummern und Hitcountern, die die Aussage beweisen.
Könnte ja durchaus sein, das eine vorher stehende Regel dafür
sorgt, das die allow übersprungen wird.

> ---------- Forwarded message ----------
> Date: Tue, 30 Apr 2002 14:29:08 -0300
> From: Ronan Lucio <ronanl(at)melim.com.br>
> To: security(at)freebsd.org
> Subject: Transparent proxy rules
>
> I have tryed to install transparent proxy but I didn´t
> understand the correct funcionality of the ipfw rules
> to squid transparent proxy.
>
> I installed transparent proxy like a tutorial that says
> to include the follow rules in ipfw:
>
> allow tcp from any to any
> fwd 127.0.0.1,3128 tcp from any to any 80
>
> Well, how ipfw read line by line, I think it´ll leave the
> server without firewall, once the first rule allow everything.
>
> But, if I test the proxy, it really works, that is to say,
> the tcp frame pass to the second rule (fwd).
> How is this possible?

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message