Re: IPFW + me

On Wed, Sep 18, 2002 at 04:15:43PM +0200, Dejan Grujin wrote:
> War logischerweise nicht die einzigste Rule. DNS ist zum Beispiel ja auch
> notwendig, um den Namen auch aufzulösen.
> Ich habe es nun hinbekommen, allerdings kann ich mir nich vorstellen, daß
> die Rules so aussehen sollten:
> oif="tun0"
>
> iif="rl0"
> inet="192.168.10.0"
> imask="255.255.255.0"
> iip="192.168.10.1"
>
> snip
>
> Hier der 80-er
> # Allow access to 80
> ${fwcmd} add 200 pass tcp from any to any 80 via ${oif}
> ${fwcmd} add 201 pass tcp from any 80 to ${inet}:${imask}
> ${fwcmd} add 202 pass tcp from ${inet}:${imask} to any 80
> Also der Tip mit der logging deny am Schluß war sehr gut! Danke. Daraus habe
> ich jetzt diese Regeln erstellt.

Jein.
Du erlaubst mit den Regeln eine rausgehende Verbindung von irgendeiner
IP zu irgendeiner IP auf Port 80.
Soweit so gut.
Du erlaubst aber auch eine reingehende Verbindung von Port 80 auf
irgendeinen Port einer beliebigen IP.
Letzteres willst du sicherlich nicht, weil du dann das Filtern praktisch
gleich sein lassen kannst.

> Dann müßte theoretisch jeder Sevice den ich durchlassen will so aussehen,
> sehe ich das richtig?

Besser nicht.

Was du vielmehr willst ist sowas:
${fwcmd} add 10 check-state
${fwcmd} add 200 pass tcp from me to any 80 out via ${oif} keep-state

Allerdings willst du auch die 192.168'er rausgehend haben, was um
einiges komplizierter ist.
Ich habe von einiger Zeit <20020708134827.GM52615(at)cicely5.cicely.de>
mal eine Basiskonfiguration zu einem solchen Fall in die Liste
geschickt.
Die Konfiguration geht von der Verwendung vom natd aus, wenn du
ppp -nat machst, dann sieht das notwendige Regelwerk wiederum anders
aus, weil die Packete an einer anderen Stelle umgestetzt werden.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message