On Mon, Mar 24, 2003 at 09:23:29PM +0100, Patrick Hess wrote:
> Hallo,
>
> Harold Gutch schrieb:
> > On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
> > > Erkennt die IPFW, wenn ?ber das tun0-Device von au?en eine IP-
> > > Adresse herein kommen will, die einem privaten Netz geh?rt, welche
> > > also nicht ?bers Internet geroutet werden sollte und blockt diese
> > > dann entsprechend ab?
> >
> > Ich versteh die Frage jetzt irgendwie nicht ganz. ipfw macht
> > genau das was du ihm sagst, also wenn du ihm sagst "wirf diese
> > Pakete weg", dann macht es das - wenn du es ihm nicht sagst, dann
> > macht es das natuerlich nicht, warum auch.
>
> Jo, ich dachte, IPFW würde eine gewisse "Eigeninitiative"
> mitbringen. Ergo müßte ich demnach eine Regel nach dem Schema
Das wäre doof, da man ja dann keinen Dial-In in ein Intra Netz
bewerkstelligen könnte.
Außerdem: woher sollte IPFW wissen welche Interface extern ist?
Mal abgesehen davon gibt es haufenweise Netze, die im Internet nicht
geroutet werden:
Derzeit Reservierte
1.0.0.0/8
2.0.0.0/8
5.0.0.0/8
70.0.0.0/7
72.0.0.0/5
82.0.0.0/7
84.0.0.0/6
88.0.0.0/5
96.0.0.0/4
112.0.0.0/5
120.0.0.0/6
124.0.0.0/7
126.0.0.0/8
222.0.0.0/7
Intra
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Loopback
127.0.0.0/8
Link Local
169.254.0.0/16
Sondernutzung
U.S. Army Yuma Proving Ground: (will not be routed)
6.0.0.0/8
Defense Information Systems Agency: (will not be routed)
7.0.0.0/8
Defense Intelligence Agency: (will not be routed)
11.0.0.0/8
Die Liste läßt sich noch problemlos weiterführen.
> deny ip from $PrivateIP to any via tun0
>
> für alle privaten IPs, die nicht über das tun0-Device gehen dürfen,
> basteln. Mal sehen, wie ich der IPFW IP-Bereiche beibringe.
Mehrere Regeln mit Masken oder bei IPFW2 mittels oder Verknüpfung.
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 24 Mar 2003 - 21:51:44 CET