© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, Jun 16, 2003 at 09:19:14AM +0200, Philon wrote:
> Hallo Liste,
>
> Ich habe mich jetzt endlich mal mit ipfw auseinandergesetzt und nach dem
> lesen einiger der verfügbaren Manuals habe ich jetzt auch eine Konfig mit
> der ich auch aus dem Netz wieder an den Rechner komme.
>
> Nun, mit dem SSH komm ich auch wie üblich wieder rein. Nach einer
> Inaktivität von 1-2 Minuten bleibt die Verbindung aber hängen, mit dem
> Open-Setup war das nie der Fall.
Verfolgende die Regeln mal mit ipfw -d.
Dort steht dann auch die Restzeit, bis zum exire.
> Auch der Samba will sich einfach nicht öffnen lassen, obwohl ich eigentlich
> alles geöffnet hatte was mir das ipfw so unterbunden hat.
>
> So oder so blick ichs einfach nicht, hier also mal die config:
>
> fwcmd="/sbin/ipfw"
>
> $fwcmd -qf flush
>
> # loopback
> $fwcmd add 00010 allow all from any to any via lo0
> $fwcmd add 00011 deny all from any to 127.0.0.0/8
> $fwcmd add 00012 deny ip from 127.0.0.0/8 to any
>
> $fwcmd add 00225 deny log tcp from any to any in tcpflags syn,fin
Keine eingehenden TCP Verbindung erlauben?
Dann haben die späteren für Samba, Apache & Co natürlich keine Chance
mehr.
> # check the traffic's state, let it in if we sent it, otherwise deny
> $fwcmd add 00230 check-state
> $fwcmd add 00235 deny tcp from any to any in established
> $fwcmd add 00240 allow ip from any to any out keep-state
>
> # allow traffic controlling icmp
> $fwcmd add 00300 allow icmp from any to any icmptype 3
> $fwcmd add 00301 allow icmp from any to any icmptype 4
> $fwcmd add 00302 allow icmp from any to any icmptype 11
>
> # allow ident requests
> $fwcmd add 00400 allow tcp from any to any 113 keep-state setup
>
> # allow access to apache
> $fwcmd add 00600 allow tcp from any to 192.168.0.10 80 setup
> $fwcmd add 00601 allow tcp from any to 192.168.0.10 443 setup
Da fehlt das keep-state.
Wird zwar immer noch funktionieren, da die Antwort dann einen Eintrag
macht, aber es ist denoch besser, wenn ipfw die vollständige Session
sieht.
> # allow access to samba
> $fwcmd add 00700 allow tcp from 192.168.0.0/24 to 192.168.0.10 139 setup
> $fwcmd add 00701 allow udp from 192.168.0.0/24 to 192.168.0.0/24 138 in
> $fwcmd add 00702 allow udp from 192.169.0.0/24 to 192.168.0.0/24 137 in
Auch hier.
> # allow access to ssh dns xntp
> $fwcmd add 00800 allow tcp from 192.168.0.0/24 to 192.168.0.10 22 setup
> $fwcmd add 00810 allow tcp from 192.168.0.0/24 to 192.168.0.10 53 setup
> $fwcmd add 00811 allow udp from 192.168.0.0/24 to 192.168.0.10 53 in
> $fwcmd add 00820 allow tcp from 192.168.0.0/24 to 192.168.0.10 123 setup
> $fwcmd add 00821 allow udp from 192.168.0.0/24 to 192.168.0.10 123 in
Und hier ebenfalls.
> # log anything that falls through
> $fwcmd add 09000 deny log ip from any to any
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 16 Jun 2003 - 15:53:08 CEST