vlan ipfilter rules

From: Otto Kucera <ok(at)72pixel.at>
Date: Wed, 28 Jul 2004 15:14:06 +0200



hallo!



ich freu mich ja sehr über tolles vlan aber leider stehe ich vor einen 


blöden problem.



also bei mir schauts so aus:



           W A N


         ----+----


             |


             |                    +-------+


             |                    |       |


    +----------------+            |       |


    |  Cisoo SOHO    |            | DNS   |


    +----------------+            | Server|


             |                    |       |


             | (em0)              |       |


        +---------+               +-------+    (vlan2) (vlan3)


        |         |                   |           |      |


        |         |   172.16/12  +----+-----------+------+--------+


        |         |(bge0)        |    V3                          |


        |Firewall |--------------+    Cisco Catalyst 2950 (DMZ)   |  


        |         |              |                                |


        |         |              +--------------------------------+


        |         |


        +---------+


             | (em1)


             | 10/8


    ---------+---------------------------------------------------


             |                |                |                |


             |                |                |                |


         +-------+        +-------+        +-------+        +-------+


         |       |        |       |        |       |        |       |  


         |       |        |       |        |       |        |       |  


         | work1 |        | work2 |        | work3 |        | work4 |  


         |       |        |       |        |       |        |       |  


         |       |        |       |        |       |        |       |  


         +-------+        +-------+        +-------+        +-------+



ich hab den dns server ins vlan3 gestellt und ist im addressbereich 


72.16.0.4/30 auch an der kurzen leine.


jetzt schreib ich an der ipfilter regeln und muss feststellen das ich 


ssh in und out erlauben muss.



also:


# Allow ingoing SSH


pass in quick on vlan3 proto tcp from any to any port = 22 flags S keep 


frags keep state


pass out quick on vlan3 proto tcp from any to any port = 22 flags S keep 


frags keep state



jetzt will ich aber nicht dass der rechner per ssh hinaus kann. sobald 


ich die out rule weg nehme gehts nicht. beim wan traffic bin ich es 


gewohnt einfach allen out traffic zu erlauben und aus. da gibts zwar nat 


damit auch wirklich ins wan raus geht aber das kann es ja auch nicht sein?



hilfe,


otto



-- 
-----------------------------------
Otto Kucera
A-1020 Wien Engerthstrasse 137/6/7
Tel: +43 699 1 942 30 91 [neue Nummer!]
Email: ok(at)72pixel.at
Icq: 65351173
-----------------------------------
And root said rm -rf /     ......and there was nothing
*BSD is like a wigwam: NO windows, NO gates and an Apache inside!
Your mailserver MUST resolve properly (Fully Qualified Domain Name) or the
mail will not go through!
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 28 Jul 2004 - 15:14:42 CEST













search this site