© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo,
Carsten Jambroszyk schrieb:
was hat deine Mail mit dem Thema "freebsd team und projekte" zu tun?
Wenn man schon auf eine andere Mail antwortet, sollte man sich auch
auf deren Inhalt beziehen.
> Das soll heißen,
> ich möchte alle Ports dicht machen und nur die auf haben die ich
> aufhaben möchte.
Wenn es du es dem Kernel nicht anders sagst, blockt die IPFW sowieso
alle Pakete. Das heißt, du *mußt* dann so oder so explizit
entscheiden, welche Ports du frei gibst.
Bei mir habe ich z.B. erst mal alle Verbindungen über fxp0 (internes
Netz) erlaubt:
add 1001 allow ip from desk1.hess.home to any via fxp0
[...]
add 1031 allow ip from server.hess.home to any via fxp0
Die letzte allow-Regel ist für den Server, auf dem die IPFW läuft.
Wenn man die vergißt, hat man den Server erfolgreich vom eigenen
Netz abgeschnitten.
Dann folgen zwei Regeln, die interne Verbindungen ins Internet
erlauben:
add 2101 check-state
add 2102 deny tcp from any to any via tun0 established
add 2103 allow tcp from any to any keep-state out xmit tun0 setup
Das erlaubt auch solche Pakete von außen, die Antworten auf Anfragen
von Rechnern aus dem internen Netz sind. Verbindungsaufbauten von
außen werden ignoriert, wie alles andere, was vorher nicht erlaubt
wurde:
add 3001 deny log ip from any to any
Zusammengefaßt gibt's das ganze auf
http://phess.de.vu/Sicherheit/IPFW.sdw
Gruß,
Patrick
PS: Dein Zeilenumbruch ist *ziemlich* verhauen.
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 23 Dec 2003 - 19:18:34 CET