Re: Firewall mit ipfw

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 5 Jan 2009 14:48:20 +0100 (CET)



Michael Gusek wrote:


 > Ich habe hier ein 192.168.0/24-Netz, 


 > bestehend aus dem FreeBSD-Router (mit ipfw), einigen Clients (Laptop, 


 > PC, Netzwerkdrucker) und eine Handvoll jails auf dem Router. Der Router 


 > hat zwei Netzwerkkarten, eine ins Internet (192.168.178.2) und eine ins 


 > lokale LAN (192.168.0.1). Ziel der Operation soll sein, dass alle 


 > Clients Zugriff auf das Internet haben, weiterhin sollen einige Ports 


 > aus dem Internet erreichbar sein, diese werden dann auf dem Router oder 


 > aber in einem der jails auf dem Router verwendet. Im Moment sehen meine 


 > Regeln so aus:


 > 


 > 1 divert 8668 ip from any to any via em1


 > 2 allow ip from any to any via lo0


 > 3 deny ip from any to 127.0.0.0/8


 > 4 deny ip from 127.0.0.0/8 to any


 > 5 check-state


 > 6 allow tcp from any to me dst-port 22 keep-state


 > 7 allow ip from me to any keep-state


 > 8 fwd 192.168.0.12,22 tcp from any to 192.168.178.2 dst-port 2222 keep-state


 > 9 allow ip from 192.168.0.0/24 to any keep-state


 > 10 deny ip from any to any


 > 


 > Mit diesen Regeln komme ich mit dem Laptop ins Internet, dafür sorgt ja 


 > Regel 9 und 1, weiterhin funktioniert der ssh-forward auf das jail mit 


 > der IP 192.168.0.12. Was nicht geht, ist das ich Verbindungen aus dem 


 > Jail ins Internet aufbauen kann, obwohl es im gleichem IP-Bereich wie 


 > der Laptop liegt und somit Regel 9 anschlagen müsste.



Wenn ich das richtig sehe, bekommt das Jail kein NAT (em1


ist das interne Interface, nehme ich mal an).  Mit seiner


192.168.*-Adresse kann es natürlich nicht raus.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"To this day, many C programmers believe that 'strong typing'
just means pounding extra hard on the keyboard."
        -- Peter van der Linden
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 05 Jan 2009 - 14:48:29 CET













search this site