© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi Peter,
>Ich fand die Regeln, wie Olli, nicht besonders logisch zusammengestellt.
>Und es gab hier schon einige Punkte, auf die aufmerksam gemacht wurde, > die irgendwie nicht hinzuhauen scheinen. Du sagst immer, dass dieses >und jenes nicht tut, weil Du trotz Aenderung kein Ergebnis bekommst, >vielleicht weil zu viele Problemchen drinstecken?
Nun, aber so viele Problemchen können es doch eigentlich nicht sein. Und unlogisch finde ich sie eigentlich nicht. Oberer Teil der Host selber, drunter alles was das interne Netz angeht. Meiner Ansicht nach logisch, aber ich lasse mich natürlich gerne eines Besseren belehren.
>
>BTW: Hast du je die natd-Regeln gepostet? Wenn ja, habe ich sie
>uebersehen.
Hatte ich eigentlich aber hier nocheinmal:
${fwcmd} add 110 divert 32002 ip from any to any out via ${oif}
${fwcmd} add 111 divert 32003 ip from any to any in via ${oif}
>Wie auch immer, Du hattest ja schon mal einen guten Anfang:
>
>> Ich habe ein rc.firewall script genommen, in dem nur ein allow all from
>> any to any stand, incl des divert, und siehe da, der Webserver ist von
>> extern erreichbar.
>
>Ist doch ein guter Anfang. Schicke doch mal die so entstandene,
>funktionierende Konmfiguration (rc.firewall+natd.conf), und dann kan man
>mal sehen, wie man das Loch kleiner bekommt.
Ui, naja ein allow all from any to any ist aber ein SEHR grosses Loch. Ich möchte es eigentlich schon so restriktiv halten, dass definitiv nur das vom Host und vom internen Netz raus kann, was auch explizit erlaubt ist.
>
>Man kann von da an immer mehr Regeln, Schritt fuer Schritt, hinzufuegen,
>und testen.
Gute Idee, aber wieso kann ich das nicht genau umgekehrt machen?
Ein default to deny, natd UND letzten Endes der Zugriff auf den webserver vom jail. Also so mal als Anfang. Danach kann man ja, wie Du schon erwähntest, noch Stück für Stück weiter frei geben.
Aber genau hier hakt es.
>Mit einigen Regeln kann ich auch gar nichts anfangen:
>
> ${fwcmd} add 53 allow all from any to 255.255.255.255 via 'vr1'
> ${fwcmd} add 54 allow all from 255.255.255.255 to any via 'vr1'
Hmmm, Broadcast im internen Netz?
Aber Du hast Recht, im internen Netz nicht wirklich notwendig.
>Warum nicht aus der Standardkonfig "klauen":
>
>setup_loopback () {
> ############
> # Only in rare cases do you want to change these rules
> #
> ${fwcmd} add 100 pass all from any to any via lo0
> ${fwcmd} add 200 deny all from any to 127.0.0.0/8
> ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
>}
Schon passiert.
>
>Vielleicht guckst Dir den "simple"-Teil der Standard-Konfig an, und baust
>daraus Deine eigene, Stueck fuer Stueck.
Nun, ich diese Firewall WAR ursprünglich genau so zusammmengestückelt Stück für Stück. Dann hatte ich damals einen angeregten Thread mit Bernd Walter, weil es immer wieder Probs gab (das erste mal ipfw mit ner DSL Leitung). Habe mir eben mal die Mühe gemacht und gesucht, hier der Thread:
http://univ.dyndns.org/freebsd/search-de/questions/02/msg06012.html
Daraus entstand die aktuelle Konfig :-)
Grüße Dejan
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 23 May 2006 - 03:51:07 CEST