firewall-ing

From: J. Erik Heinz <list(at)jerik.de>
Date: Sun, 19 Feb 2006 22:19:25 +0100

Hi,

da ich anscheined NAT für die jails brauche um mittels pkg_add ports
zu installieren, muss ich mich jetzt mal an die firewall und nat
heranwagen.

Mein ersten Gehversuche sagen mir RTFM. Was ich jetzt auch mal machen
werden. Alles frisch ausdrucken und als gute-nachtlektüre verwenden.

3 Sachen sind mir aber aufgefallen die beim überfliegen der manuals
und tutorials nicht erklärt wurden. Evtl. kann mir einer von euch
helfen:

1) Syntax der Firewall regeln sind etwas unterschiedlich:
a) man firewall: add 01500 deny all from not 10.0.1.0/24 in via fxp1
b) man ipfw: ipfw add deny tcp from any to any established

Einmal mit ipfw davor und das anderem ohne. Wenn ich das richtig
interpretiere ist das bei b) ein skript was eingelesen wird. und bei
a) einfach eine konfigurationsdatei. Gibt es ein format was man
bevorzugen sollte, und aus welchem grund?

2) Ich habe die firewall nicht einkompiliert, sondern lade sie
(dynamsich). In der bootmessage steht:

ipfw2 initialized, divert disabled, rule-based forwarding disabled,
default to deny, logging disabled

kann ich das divert auch enablen. und wenn wie. Bisher habe ich nur
möglichkeiten gesehen die dies für die kompilierung aufzeigen.
Interessant wäre es zu wissen wie ich das mache wenn ich es nicht
einkompilieren.

3) Wenn ich es richtig verstanden habe, ist seit ipfw2 nat
überflüssig, da ipfw2 dies auch ermöglicht. Kennt einer von euch ein
gutest tutorial dafür um die nat-funktionalität mit ipfw zu
ermöglichen.

und dann fallen mir gerade noch 2 zusätzliche fragen ein:

4) Spricht irgend was dagegen (langfristig) das ich die firewall nicht
einkompiliere?
5) Wenn ich es nicht ipfw2 benutzt, sondern eine andere firewall, bspw
pf, dann bräuchte ich wieder nat um das eigentliche Ziel von mir zu
verwirklichen (software mittels pkg_add in jail zu installieren)?
6) Welche der 3 (ipfw, pf, ipfilter) Firewall bevorzugt ihr?

Gruss Erik

-- 
J. Erik Heinz
Keyboard-samuraing in process
:: All non-mailinglist mail to this emailadress will be deleted.
OpenBC: https://www.openbc.com/hp/JErik_Heinz
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 19 Feb 2006 - 22:22:23 CET

search this site