© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, 22 May 2006, Dejan Grujin wrote:
> Ne, also am NATD kann es nicht liegen, da ein allow all from any to any NACH
> der aktuellen nat Regel, wunderbar funktioniert.
Ich fand die Regeln, wie Olli, nicht besonders logisch zusammengestellt.
Und es gab hier schon einige Punkte, auf die aufmerksam gemacht wurde, die
irgendwie nicht hinzuhauen scheinen. Du sagst immer, dass dieses und jenes
nicht tut, weil Du trotz Aenderung kein Ergebnis bekommst, vielleicht weil
zu viele Problemchen drinstecken?
BTW: Hast du je die natd-Regeln gepostet? Wenn ja, habe ich sie
uebersehen.
Wie auch immer, Du hattest ja schon mal einen guten Anfang:
> Ich habe ein rc.firewall script genommen, in dem nur ein allow all from
> any to any stand, incl des divert, und siehe da, der Webserver ist von
> extern erreichbar.
Ist doch ein guter Anfang. Schicke doch mal die so entstandene,
funktionierende Konmfiguration (rc.firewall+natd.conf), und dann kan man
mal sehen, wie man das Loch kleiner bekommt.
Man kann von da an immer mehr Regeln, Schritt fuer Schritt, hinzufuegen,
und testen.
Mit einigen Regeln kann ich auch gar nichts anfangen:
${fwcmd} add 53 allow all from any to 255.255.255.255 via 'vr1'
${fwcmd} add 54 allow all from 255.255.255.255 to any via 'vr1'
Und hier:
${fwcmd} add 51 allow all from 127.0.0.1 to 127.0.0.1
Warum nicht aus der Standardkonfig "klauen":
setup_loopback () {
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
Vielleicht guckst Dir den "simple"-Teil der Standard-Konfig an, und baust
daraus Deine eigene, Stueck fuer Stueck.
Es gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 22 May 2006 - 12:26:44 CEST