© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
-- Dejan Grujin <dgrujin(at)edv-dg.de> wrote:
> nachdem ich nun viel rumgetüftelt habe, habe ich wohl den Fehler
> gefunden, bzw ich weiss wo er liegt, weiss aber nicht genau, wie ich
> jetzt Abhilfe schaffen kann.
nochmal als Tipp:
Nehme tcpdump (mit Filtern auf den Host und/oder Port) zum Debuggen, auf
unterschiedlichen Rechnern, möglichst auch extern: auf dem
Firewall-Rechner, auf einem Rechner im LAN und auf einem Rechner extern.
Dann ein telnet auf einen freigegebenen Port machen und schauen wer
welche Pakete erhält und wer was verschickt.
Zum anderen finde ich es übersichtlicher, erweiterte
Firewall-Konfigurationen in eine externe Datei auszulagern und diese dann
in rc.conf über die entsprechenden Optionen einzubinden.
Bei den keep-state-Sachen solltest Du bei TCP ein "setup" hinten dran
setzen, damit Dir das Stateful auch was bringt: ansonsten kommen auch
nicht-setup-pakete durch und schalten keep-state frei, was nicht im Sinne
des Erfinders ist, dann kannst Du auf kepp-state verzichten und gleich
alle established durchlassen ;-)
Außerdem solltest Du Dich fragen, ob Du wirklich eine
Nazi-Netzkonfiguration willst, also ob Du vom inneren Netz alles ins
äußere blocken willst, was nicht explizit erlaubt ist (Port 80 etc.) --
beim privaten Heimnetz ist das in der Regel nicht sinnvoll, außer mit
virenverseuchten Windows-Nutzern, denen man gar nicht vertraut.
Allerdings finden die Schädlinge auch dann Wege nach draußen ...
Denn in der Praxis braucht man gerne mal den einen oder anderen Port, und
sei es nur weil der Webserver auf den man zugreifen will eben auf 8080
oder 9000 läuft.
Ansonsten sagst Du ja selbst, dass eine einfache Konfiguration geht. Also
packe Stück für Stück mehr Sachen die zusammengehören rein, dann
siehst Du wo die Probleme anfangen. Vielleicht an einem Allow was noch
vor dem NAT kommt, aber das Paket muss durchs NAT durch ...
Ciao
Alvar
-- ** Alvar C.H. Freude, http://alvar.a-blast.org/ ** http://www.wen-waehlen.de/ ** http://odem.org/ ** http://www.assoziations-blaster.de/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 16 May 2006 - 12:41:54 CEST