Ipfw und keep-state

Hallo Liste,

Nach weiteren Versuchen mit ipfw und meiner eigentlich geschloßenen Table
bin ich zu folgendem gekommen:

# ipfw show
00010 12 1188 allow ip from any to any via lo0
00011 0 0 deny ip from any to 127.0.0.0/8
00012 0 0 deny ip from 127.0.0.0/8 to any
00225 0 0 deny log logamount 100 tcp from any to any in tcpflags
fin,syn
00230 0 0 check-state
00240 23312 10027339 allow ip from any to any keep-state
09000 0 0 deny log logamount 100 ip from any to any
65535 61 7534 deny ip from any to any

Nun frag ich mich einerseits wie irgendwas an Regel 9000 vorbeigehen kann um
so NICHT ins Log zu kommen. Dann kommt für mich aber die viel wichtigere
Frage: warum geht immernoch ALLES an Netzwerkverkehr rein wie raus?

Meinen Howto-Studien zu Folge sollte doch die Kombination aus check-state
und keep-state eine dynamische Liste erzeugen von Paketen die rein/raus
dürfen. Gibt es also eine Regel die keep-state setzt, wird also das
keep-state gesetzt und der Verkehr geht weiter.

Habe ich also keine keep-state setzende Regel, sollte auch nix reinkommen.

Ich hab jetzt folgende Regel eingefügt:

00300 allow tcp from 192.168.0.0/24 to 192.168.0.8 in via rl0 keep-state

Ich habe also eine einzige Regel nach der keep-state weitere Pakete
durchlässt. Dummerweise komme ich nach wie vor via http und smtp rein wie
raus, auch jeder andere Verkehr ist kein Problem. Angesichts der Tatsache
das 2! Regeln alles ablehnen für mich ziemlich verwirrend.

Sehr gerne würde ich nun über den Sinn/Unsinn bzw. die Nutzung von
keep-state-Regeln aufgeklärt werden.

Vielen Dank!
Philon

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 26 Jun 2003 - 20:00:40 CEST