© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo Bernd,
hmmmmmm... aber nur in der Konfig wie es jetzt ist gehen die 192.168-er
leider
> -----Original Message-----
> From: Bernd Walter [mailto:ticso(at)cicely8.cicely.de]
> Sent: Mittwoch, 18. September 2002 17:01
> To: Dejan Grujin
> Cc: ticso(at)cicely.de; BSD Mailingliste (E-mail)
> Subject: Re: IPFW + me
>
> Jein.
> Du erlaubst mit den Regeln eine rausgehende Verbindung von irgendeiner
> IP zu irgendeiner IP auf Port 80.
> Soweit so gut.
> Du erlaubst aber auch eine reingehende Verbindung von Port 80 auf
> irgendeinen Port einer beliebigen IP.
> Letzteres willst du sicherlich nicht, weil du dann das
> Filtern praktisch
> gleich sein lassen kannst.
>
> > Dann müßte theoretisch jeder Sevice den ich durchlassen
> will so aussehen,
> > sehe ich das richtig?
>
> Besser nicht.
>
>
> Was du vielmehr willst ist sowas:
> ${fwcmd} add 10 check-state
> ${fwcmd} add 200 pass tcp from me to any 80 out via ${oif} keep-state
>
> Allerdings willst du auch die 192.168'er rausgehend haben, was um
> einiges komplizierter ist.
Eben das meine ich, denn auf dem gw werde ich kaum surfen oder Ähnliches...
> Ich habe von einiger Zeit <20020708134827.GM52615(at)cicely5.cicely.de>
> mal eine Basiskonfiguration zu einem solchen Fall in die Liste
> geschickt.
> Die Konfiguration geht von der Verwendung vom natd aus, wenn du
> ppp -nat machst, dann sieht das notwendige Regelwerk wiederum anders
> aus, weil die Packete an einer anderen Stelle umgestetzt werden.
Also nat mache ich auch, allerdings über den ipfw
das ist bei mir die erste rule:
${fwcmd} -f flush
${fwcmd} add 10 divert natd all from any to any via
${natd_interface}
${fwcmd} add 50 pass all from any to any via lo0
${fwcmd} add 51 deny all from any to 127.0.0.0/8
${fwcmd} add 52 deny ip from 127.0.0.0/8 to any
Und das natd_interface ist logischerweise tun0.
Und nun?
Danke
Grüße Dejan
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 18 Sep 2002 - 17:10:01 CEST