AW: Probleme mit der Firewall in Verbindung mit PPPoE Protokoll

Die Regel 124 fängt in diesem Fall die Requests nicht ab, das die Anfragen vom
Interface ste1 gematched werden sollen. Die Pakete laufen auch bei der Regel
50000 auf, aber es passiert nischt

-----Ursprüngliche Nachricht-----
Von: Oliver Fromme [mailto:olli(at)secnetix.de]
Gesendet: Donnerstag, 19. Juni 2003 14:00
An: de-bsd-questions(at)de.freebsd.org
Betreff: Re: Probleme mit der Firewall in Verbindung mit PPPoE Protokoll

Stefan Witte <switte(at)nicetec.de> wrote:
> Ich benutze auf dem FreeBSD 4.5 System [...]

Weia, das ist uralt. Gar nicht so einfach, sich für einen
Exploit zu entscheiden, mit dem man da reinkommt; die Aus-
wahl ist ja groß. :-]

Aber im Ernst, ich würde zu einem Update auf 4.8-Release
oder 4-stable raten.

> 00100 0 0 allow ip from any to any via lo0
> 00122 10741 592749 allow ip from any to me via ste1
> 00123 9733 1095670 allow ip from me to any via ste1
> 00124 54 2919 allow ip from any to any via ste0
> 00124 114240 36117667 allow ip from any to any via tun0
> 50000 906 118706 fwd 127.0.0.1 tcp from any to any 80
> 65535 1414 162561 deny ip from any to any

Um ehrlich zu sein, ich verstehe die Regeln nicht ganz.
Die Regel 124 sollte doch bereits alles abfangen, was übrig
ist, und die Regel 50000 bekommt dann nichts mehr ab.

Warum die Regel 50000 trotzdem Pakete gezählt hat, ist mir
jetzt auch nicht ganz klar. Aber vielleicht hattest Du ja
die Regeln mal modifiziert oder den ppp gestoppt, ohne die
Zähler zurückzusetzen.

Oder es sind Pakete mit Zielport 80, die _nicht_ über tun0
gingen, d.h. also nur interner Traffic, bei dem der Router
oder eine externe IP weder Ziel noch Quelle war. Mit ande-
ren Worten: Geroutete Pakete mit Zielport 80 von einem
internen Rechner zu einem anderen internen Rechner. Aber
ich glaube, das sind nicht diejenigen, um die es Dir geht.

> Wenn ich kein ppp aktiviert habe, funktioniert die redirection auch.

Logisch -- dann gibt es nämlich kein tun0, und die Regel
124 kriegt nichts ab, also greift die Regel 50000.

> Gibt es Probleme mit der ipfw in Verbindung mit PPPoE ??

Nein, funktioniert bei mir daheim einwandfrei, allerdings
mache ich nicht so komische fwd-Geschichten. :-)

> Die Regel 50000 registiert auch Pakete, es wird das forwarding aber nicht du
> eführt !

Weil nach meiner Ansicht bereits die vorhergehenden Regeln
die entsprechenden Pakete abdecken müßten. Zumindest
wüßte ich jetzt nicht, was für Pakete die Regel 50000
erfassen sollte, die nicht bereits bei einer der vorher-
gehenden Regeln gematcht wurden (bis auf den o.g. Fall).

Vielleicht habe ich Dich aber auch gründlich mißverstanden.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Clear perl code is better than unclear awk code; but NOTHING
comes close to unclear perl code"  (taken from comp.lang.awk FAQ)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message