* Patrick Hess <patrick_hess(at)t-online.de> [030324 21:45]:
Hallo Patrick,
> Jo, ich dachte, IPFW würde eine gewisse "Eigeninitiative"
> mitbringen.
ipfw nicht, aber rc.firewall macht das für dich. Schau dir den Code
einfach mal in /etc/rc.firewall an.
> Ergo müßte ich demnach eine Regel nach dem Schema
> deny ip from $PrivateIP to any via tun0
> für alle privaten IPs, die nicht über das tun0-Device gehen dürfen,
> basteln. Mal sehen, wie ich der IPFW IP-Bereiche beibringe.
Du kannst IP-Bereiche mit einer Subnetmask angeben, z.B. 192.168.0.0/16:
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
Insbesondere ist hier wichtig, dass man Anti-Spoofing und NAT in der
richtigen Reihenfolge hat. Aber das siehst du ja auch in rc.firewall.
Gruss
Christian
-- Murphys Law 12: Die Lösung eines Problems ändert die Art desselben. http://www.lackas.net/ Perl Delphi Linux MP3 Searchengines Domainchecker To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 24 Mar 2003 - 21:58:55 CET