Re: firewall-ing

From: Alvar Freude <alvar(at)a-blast.org>
Date: Mon, 20 Feb 2006 10:55:42 +0100

Hi,

bevor ich zu der NAT-Frage komme, die allgemeine Frage in die Runde:
welche Vor- und Nachteile haben ipfw und pf (und von mir aus auch noch
ipfilter)?

Ich setze derzeit ipfw ein, bringt pf irgendwelche Vorteile, außer dass
das Filtern nach UID derzeit hängt? ;)

-- "J. Erik Heinz" <list(at)jerik.de> wrote:

> 2) Ich habe die firewall nicht einkompiliert, sondern lade sie
> (dynamsich). In der bootmessage steht:

ich habe alles in der Kernel reingebaut, damit geht es ganz einfach:

  # natd -interface fxp0
  # ipfw add 1000 divert natd all from any to any via fxp0

bzw. in /etc/rc.conf

  natd_enable="YES"
  natd_interface="fxp0"

und in der Firewall-Konfiguration:

  ipfw add 1000 divert natd all from any to any via fxp0

Wichtig: ERST den natd starten, dann die divert-rule aufsetzen -- sonst
ist das Netz weg ;)

Die Regel muss *vor* allen Regeln stehen, die entsprechende Zugriffe
erlauben (also eine niedrigere Nummer haben), sonst wird der natd nicht
durchlaufen.

Die Sachen habe ich in den Kernel reingebaut. Im Kernel habe ich auch
gleich ein "default accept" drin, dann kann bei einer Remote-Kiste ein
kaputtes Userland nicht verhindern, dass ipfw aufgerufen wird (hatte ich
schon nach einem Remote-Update); wenn alles klappt, werden beim booten
gleich die Regeln geladen und alles ist OK.

Im Kernel:

  # Firewall fest in Kernel, aber default alles offen und forwarding
  # erlauben
  options IPFIREWALL
  options IPFIREWALL_VERBOSE
  options IPFIREWALL_DEFAULT_TO_ACCEPT
  options IPFIREWALL_FORWARD
  options IPFIREWALL_FORWARD_EXTENDED
  
  # fuer NAT (der internen IPs)
  options IPDIVERT

Aaaaber:
Für Jails brauchst Du nur dann NAT, wenn Dir die öffentlichen oder
lokal-öffentlichen IPs ausgehen. Da Du ja mit internen IPs arbeitest,
dürftest Du da ja genügend haben, oder? Denn NAT brauchst Du ja nur
dann, wenn Deine IPs nicht von außen aus erreicht werden können.

> 5) Wenn ich es nicht ipfw2 benutzt, sondern eine andere firewall, bspw
> pf, dann bräuchte ich wieder nat um das eigentliche Ziel von mir zu
> verwirklichen (software mittels pkg_add in jail zu installieren)?

warum pkg_add?
Mit den Ports ist es IMHO doch viel komfortabler und außerdem wird der
Code Dir für Deine Plattform und Prozessor optimiert.

Ansonsten: Du kannst die Pakete auch vom Hostsystem herunterladen und in
den Jails darauf zugreifen.

Ciao
  Alvar

-- 
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.wen-waehlen.de/
** http://odem.org/
** http://www.assoziations-blaster.de/

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 20 Feb 2006 - 10:57:32 CET

search this site