© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
In epistula a Bernd Walter, die horaque Wed, Aug 18, 2004 at 06:12:56PM +0200:
> On Wed, Aug 18, 2004 at 04:30:28PM +0200, Christoph Schumacher wrote:
> > Hallo Leute
> >
> > Ich bin gerade dabei mir ein WLAN aufzubauen, das ich über eine FreeBSD
> > VPN verwalten will. Dazu will ich natürlich alles dicht machen, bis auf
> > DNS, SSH und VPN. Leider klappt das nicht so wie ich will. Ich kann mich
> > per pptp auf dem Server einloggen , aber auch Samba-Zugriffe machen (
> > was nicht sein soll ). Was ist falsch in meiner Konfiguration ??
> > Anmerkung : wip ist wlan ( CrossKabel2AP ), iif ist intern, oif ist DSL
Bernd hat ja schon einiges dazu gesagt, aber vielleicht hilft dir der Senf,
den ich dazugeben will, auch noch ein wenig weiter.
Ich bin jetzt nicht mehr so fit mit ipfw (5.x hat OpenBSD-PF
und der ist mir persönlich lieber), aber vielleicht krieg' ich
noch einen funktionierenden Regelsatz zusammen:
======================================================
antispoof() {
# Laß ich mal weg, paßt ja im Original
...
}
antispoof
# erst mal alles, was state hat
${fwcmd} add check-state
# erst mal alles ausgehend auf externem Interface erlauben,
# wenn es von der lokalen Maschine kommt.
${fwcmd} add allow from ${oip} to any xmit ${oif} keep-state
# DHCP
${fwcmd} add allow udp from any to ${wip} 67 in via ${wif} keep-state
# DNS
${fwcmd} add allow udp from ${wnet}:${wmask} to ${wip} \
in via ${wif} 53 keep-state
${fwcmd} add allow tcp from ${wnet}:${wmask} to ${wip} \
in via ${wif} 53 setup keep-state
# SSH
${fwcmd} add allow udp from ${wnet}:${wmask} to ${wip} \
in via ${wif} 53 setup keep-state
# PPTP/GRE
${fwcmd} add allow tcp from ${wnet}:${wmask} to ${wip} \
in via ${wif} pptp setup keep-state
${fwcmd} add allow gre from ${wnet}:${wmask} to ${wip} \
in via ${wif}
vpnip="10.0.0.0" vpnnet="255.255.255.0"
# Pakete via VPN, Anti-Spoof-Regeln sollten Probleme verhindern.
${fwcmd} add allow from ${vpnip}:${vpnnet} to any keep-state
# und Rest nach /dev/null
${fwcmd} add deny from any to any
======================================================
Keine Garantie für's Funktionieren allerdings.
>
> [snip]
>
> Aha - keep-state.
> Du hast aber kein check-state.
Ich glaub, ich hab ganz unten eins gesehen, außerdem braucht
er es laut Manpage doch auch nicht unbedingt explizit angeben, oder?
ipfw(8)
check-state
Checks the packet against the dynamic ruleset. If a match is
found, execute the action associated with the rule which gener-
ated this dynamic rule, otherwise move to the next rule.
Check-state rules do not have a body. If no check-state rule is
found, the dynamic ruleset is checked at the first keep-state or
limit rule.
Gruß,
Peter
-- Zweifel ist keine angenehme Voraussetzung, aber Gewißheit ist eine absurde. -- François Marie Arouet Voltaire To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 18 Aug 2004 - 19:24:37 CEST