Re: Ipfw und keep-state

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Thu, 26 Jun 2003 20:18:50 +0200



On Thu, Jun 26, 2003 at 08:00:24PM +0200, Philon wrote:


> Hallo Liste,


> 


> Nach weiteren Versuchen mit ipfw und meiner eigentlich geschloßenen Table


> bin ich zu folgendem gekommen:


> 


> # ipfw show


> 00010    12     1188 allow ip from any to any via lo0


> 00011     0        0 deny ip from any to 127.0.0.0/8


> 00012     0        0 deny ip from 127.0.0.0/8 to any



Sowei so gut.



> 00225     0        0 deny log logamount 100 tcp from any to any in tcpflags


> fin,syn



Welches Packet sollte denn mit fin und syn reinkommen?


Die flags sollten niemals in Kombination auftreten.


Nullnummer also.



> 00230     0        0 check-state



Der erlaubt alle bekannten Sessions.



> 00240 23312 10027339 allow ip from any to any keep-state



Und hier wird auch alles legitimiert.



> 09000     0        0 deny log logamount 100 ip from any to any



Der bekommt dann nix mehr.



> 65535    61     7534 deny ip from any to any



Und der nur noch beim Neuaufbau der Liste, bis alle Regeln geladen


sind.



> Nun frag ich mich einerseits wie irgendwas an Regel 9000 vorbeigehen kann um


> so NICHT ins Log zu kommen. Dann kommt für mich aber die viel wichtigere


> Frage: warum geht immernoch ALLES an Netzwerkverkehr rein wie raus?



Weil du es erlaubt hast.



> Meinen Howto-Studien zu Folge sollte doch die Kombination aus check-state


> und keep-state eine dynamische Liste erzeugen von Paketen die rein/raus


> dürfen. Gibt es also eine Regel die keep-state setzt, wird also das


> keep-state gesetzt und der Verkehr geht weiter.



Kannst du mit ipfw -d show erfragen



> Habe ich also keine keep-state setzende Regel, sollte auch nix reinkommen.



Doch, doch - wenn Tegel 240 keinen keep-state hätte, dann würde die


immer  noch alles durchlassen.



> Ich hab jetzt folgende Regel eingefügt:


> 


> 00300 allow tcp from 192.168.0.0/24 to 192.168.0.8 in via rl0 keep-state



Da ist doch eh schon alles gelaufen.



> Ich habe also eine einzige Regel nach der keep-state weitere Pakete


> durchlässt. Dummerweise komme ich nach wie vor via http und smtp rein wie


> raus, auch jeder andere Verkehr ist kein Problem. Angesichts der Tatsache


> das 2! Regeln alles ablehnen für mich ziemlich verwirrend.



Ich sehe nur 65535 die alles ablehnt - vorher hast du aber bereits


alles erlaubt.



> Sehr gerne würde ich nun über den Sinn/Unsinn bzw. die Nutzung von


> keep-state-Regeln aufgeklärt werden.



Packete für eine Übertragung laufen normalerweise rein und raus.


Damit man nur die Packete rein läßt, wozu auch eine rausgehende


Session bekannt ist verwended man Statefull Regeln.



-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 26 Jun 2003 - 20:19:01 CEST













search this site