Re: vlan ipfilter rules

hi!

ich hab jetzt eine brauchbare lössung für das problem gefunden. falls
mal wer hilfe braucht ...

otto

Otto Kucera wrote:

> hallo!
>
> ich freu mich ja sehr über tolles vlan aber leider stehe ich vor einen
> blöden problem.
>
> also bei mir schauts so aus:
>
>
> W A N
> ----+----
> |
> | +-------+
> | | |
> +----------------+ | |
> | Cisoo SOHO | | DNS |
> +----------------+ | Server|
> | | |
> | (em0) | |
> +---------+ +-------+ (vlan2) (vlan3)
> | | | | |
> | | 172.16/12 +----+-----------+------+--------+
> | |(bge0) | V3 |
> |Firewall |--------------+ Cisco Catalyst 2950 (DMZ) |
> | | | |
> | | +--------------------------------+
> | |
> +---------+
> | (em1)
> | 10/8
> ---------+---------------------------------------------------
> | | | |
> | | | |
> +-------+ +-------+ +-------+ +-------+
> | | | | | | | |
> | | | | | | | |
> | work1 | | work2 | | work3 | | work4 |
> | | | | | | | |
> | | | | | | | |
> +-------+ +-------+ +-------+ +-------+
>
>
> ich hab den dns server ins vlan3 gestellt und ist im addressbereich
> 72.16.0.4/30 auch an der kurzen leine.
> jetzt schreib ich an der ipfilter regeln und muss feststellen das ich
> ssh in und out erlauben muss.
>
> also:
> # Allow ingoing SSH
> pass in quick on vlan3 proto tcp from any to any port = 22 flags S
> keep frags keep state
> pass out quick on vlan3 proto tcp from any to any port = 22 flags S
> keep frags keep state
>
> jetzt will ich aber nicht dass der rechner per ssh hinaus kann. sobald
> ich die out rule weg nehme gehts nicht. beim wan traffic bin ich es
> gewohnt einfach allen out traffic zu erlauben und aus. da gibts zwar
> nat damit auch wirklich ins wan raus geht aber das kann es ja auch
> nicht sein?
>
> hilfe,
> otto
>
>

-- 
-----------------------------------
Otto Kucera
A-1020 Wien Engerthstrasse 137/6/7
Tel: +43 699 1 942 30 91 [neue Nummer!]
Email: ok(at)72pixel.at
Icq: 65351173
-----------------------------------
And root said rm -rf /     ......and there was nothing
*BSD is like a wigwam: NO windows, NO gates and an Apache inside!
Your mailserver MUST resolve properly (Fully Qualified Domain Name) or the
mail will not go through!
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message