© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
----- Original Message -----
From: "Christian Staubli" <mickdunde(at)mickdunde.net>
To: "Jens Rehsack" <rehsack(at)liwing.de>
Cc: <de-bsd-questions(at)de.freebsd.org>
Sent: Wednesday, October 01, 2003 3:45 PM
Subject: Re: ipf rule mit port 8767
> Jens Rehsack wrote:
>
> > Christian Staubli wrote:
> >
> >> Jens Rehsack wrote:
> >>
> >>> Christian Staubli wrote:
> >>>
> >>>> Hallo Liste
> >>>>
> >>>> Ich steh vor einem Problem, dass mich wieder einmal vollkommen an
> >>>> mir zweifeln lässt. Ich habe einen ipf filter definiert, der
> >>>> verschiedene ports zulässt und den rest schliesst, sowohl von innen
> >>>> wie auch von aussen. Dabei habe ich zum Beispiel eine rule die lautet:
> >>>> pass in log quick on rl0 proto tcp from any to any port = 22 keep
> >>>> state
> >>>> Mit NAT noch weitergeleitet, kein Problem.
> >>>> Nun wollte ich einen anderen port weiter leiten, habe dabei die
> >>>> Regel kopiert und einfach einen anderen port eingesetzt, in diesem
> >>>> Fall 8767. Nun zeigt aber ein kurzer Portscann den Port als
> >>>> geschlossen an! Wenn ich die rule wieder wegnehme, ist er stealth.
> >>>> Ich habe schon mehrmals den Syntax überprüft, auch schon eine
> >>>> andere rule missbraucht und nur den port geändert, der ist immer
> >>>> geschlossen!
> >>>
> >>>
> >>>
> >>>
> >>> Guck mal mit 'netstat -a', ob der Port überhaupt von einem Service
> >>> gebunden wird.
> >>>
> >>> Jens
> >>
> >>
> >>
> >> Port wird mit NAT weiter geleitet, aber auf der anderen Maschine
> >> läuft der Service.
> >
> >
> > Dann müsstest Du schonmal die betreffenden Zeilen der ipf.rules und
> > der ipnat.rules mitschicken.
> >
> > Gruß,
> > Jens
>
> Folgende Rule bei ipf.rules funktioniert nicht:
> pass in log quick on rl0 proto tcp/udp from any to 192.168.255.0/24 port
> = 8767 keep state
> dasselbe bei ipnat.rules:
> rdr rl0 0.0.0.0/0 port 8767 -> 192.168.255.5 port 8767
die rdr rule sieht ok aus - ein protokoll am ende (wie beispielsweise tcp) muss man nicht zwingend definieren.....
- auch die 'pass in' rule ist tadellos.....evtl. kann es ja sein das sich ipf an der regel für das gesamte klasse C subnetz + port
stört....schon mal nur die 192.168.255.5 er IP ohne subnet angabe probiert?
pass in log quick on rl0 proto tcp/udp from any to 192.168.255.5 port = 8767 keep state
>
> Gruss, Christian
>
>
> To Unsubscribe: send mail to majordomo.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message
mfg.
christian damm
technische leitung
phone: dw 42
email: christian.damm(at)diewebmaster.at
icq at work: 124464652
die webmaster - flötzerweg 156 - 4030 linz - austria
phone: +43-732-381242, fax: +43-732-381242-22, isdn (leonardo): +43-732-381242-33
homepage: www.diewebmaster.at, public email: office(at)diewebmaster.at
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 01 Oct 2003 - 16:29:30 CEST