© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, 23 May 2006, dgrujin(at)edv-dg.de wrote:
> >BTW: Hast du je die natd-Regeln gepostet? Wenn ja, habe ich sie
> >uebersehen.
> Hatte ich eigentlich aber hier nocheinmal:
>
> ${fwcmd} add 110 divert 32002 ip from any to any out via ${oif}
> ${fwcmd} add 111 divert 32003 ip from any to any in via ${oif}
Entschuldigung, ein Missverstaendnis. Wie laufen die natd und mit welcher
Konfiguration?
Wenn ich Dich hier recht verstehe, dann hast Du zwei natd laufen, einer
horcht an Port 32002, einer an Port 32003. Warum zwei?
> Ui, naja ein allow all from any to any ist aber ein SEHR grosses Loch.
> Ich möchte es eigentlich schon so restriktiv halten, dass definitiv nur
> das vom Host und vom internen Netz raus kann, was auch explizit erlaubt
> ist.
Ja, klar.
> >Man kann von da an immer mehr Regeln, Schritt fuer Schritt, hinzufuegen,
> >und testen.
>
> Gute Idee, aber wieso kann ich das nicht genau umgekehrt machen? Ein
> default to deny, natd UND letzten Endes der Zugriff auf den webserver
> vom jail. Also so mal als Anfang. Danach kann man ja, wie Du schon
> erwähntest, noch Stück für Stück weiter frei geben. Aber genau hier hakt
> es.
Okay.
> >Mit einigen Regeln kann ich auch gar nichts anfangen:
> >
> > ${fwcmd} add 53 allow all from any to 255.255.255.255 via 'vr1'
> > ${fwcmd} add 54 allow all from 255.255.255.255 to any via 'vr1'
> Hmmm, Broadcast im internen Netz?
Nein, die Broadcastaddress ist in einem Netz mit 255.255.255.0 (alias
/24) als Netmask normalerweise die mit .255 am Ende (z.B. 192.168.0.255)
> Aber Du hast Recht, im internen Netz nicht wirklich notwendig.
Ja, lasse erst einmal weg.
> >Warum nicht aus der Standardkonfig "klauen":
> >
> >setup_loopback () {
..
> Schon passiert.
:-)
> >Vielleicht guckst Dir den "simple"-Teil der Standard-Konfig an, und baust
> >daraus Deine eigene, Stueck fuer Stueck.
>
>
> Nun, ich diese Firewall WAR ursprünglich genau so zusammmengestückelt
> Stück für Stück. Dann hatte ich damals einen angeregten Thread mit Bernd
> Walter, weil es immer wieder Probs gab (das erste mal ipfw mit ner DSL
> Leitung). Habe mir eben mal die Mühe gemacht und gesucht, hier der
> Thread:
> http://univ.dyndns.org/freebsd/search-de/questions/02/msg06012.html
> Daraus entstand die aktuelle Konfig :-)
Tja..
Also, mein Vorschlag:
Schreibe als letzte Regel ein log deny, dann kannst Du sehen, was da nicht
durchgekommen ist.
Schreibe darueber ein divert (warum nicht am Standardport?) und starte den
natd mit den erforderlichen Optionen, um Deinen Apache zu erreichen.
Schreibe eine Regel, die es erlaubt, den Apachen zu erreichen (keep-state)
und am Ende (vor dem log deny) ein check-state, so dass etablierte
Verbindungen durchkommen.
Gruss
peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 25 May 2006 - 07:22:15 CEST