Firewall mit ipfw

From: Michael Gusek <michael.gusek(at)web.de>
Date: Thu, 01 Jan 2009 14:27:53 +0100

Hi Leute !

Ich dachte mal, über Weihnachten könnt ich ja mal meine etwas
angestaubte Firewall mit ipfw etwas überabeiten, entschlanken und so
weiter und insbesondere den externen natd dabei gleich loswerden. Aber
erstmal zu meiner Netzwerkstruktur. Ich habe hier ein 192.168.0/24-Netz,
bestehend aus dem FreeBSD-Router (mit ipfw), einigen Clients (Laptop,
PC, Netzwerkdrucker) und eine Handvoll jails auf dem Router. Der Router
hat zwei Netzwerkkarten, eine ins Internet (192.168.178.2) und eine ins
lokale LAN (192.168.0.1). Ziel der Operation soll sein, dass alle
Clients Zugriff auf das Internet haben, weiterhin sollen einige Ports
aus dem Internet erreichbar sein, diese werden dann auf dem Router oder
aber in einem der jails auf dem Router verwendet. Im Moment sehen meine
Regeln so aus:

1 divert 8668 ip from any to any via em1
2 allow ip from any to any via lo0
3 deny ip from any to 127.0.0.0/8
4 deny ip from 127.0.0.0/8 to any
5 check-state
6 allow tcp from any to me dst-port 22 keep-state
7 allow ip from me to any keep-state
8 fwd 192.168.0.12,22 tcp from any to 192.168.178.2 dst-port 2222 keep-state
9 allow ip from 192.168.0.0/24 to any keep-state
10 deny ip from any to any

Mit diesen Regeln komme ich mit dem Laptop ins Internet, dafür sorgt ja
Regel 9 und 1, weiterhin funktioniert der ssh-forward auf das jail mit
der IP 192.168.0.12. Was nicht geht, ist das ich Verbindungen aus dem
Jail ins Internet aufbauen kann, obwohl es im gleichem IP-Bereich wie
der Laptop liegt und somit Regel 9 anschlagen müsste. Ich könnte noch
ein "allow ip from any to any" vor Regel 10 machen, damit gehts wie
gewünscht, aber das wär ja dann wohl Quatsch. Auch ein explizites "allow
ip from 192.168.0.12 to any keep-state" bringt nicht den gewünschten
Erfolg, die Regel wird schlichtweg ignoriert, als ob die Pakete gar
nicht aus dem Jail 192.168.0.12 kommen.
Was mache ich falsch, bzw. was fehlt mir noch ?

Micha

P.S. Regel 9 würde ich später noch durch Regeln ersetzen, die bestimmten
Clients Internet gestatten und nicht mehr dem gesamten Netz.

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 01 Jan 2009 - 14:28:02 CET

search this site