Re: Firewall mit ipfw

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 5 Jan 2009 21:00:18 +0100 (CET)

Michael Gusek <michael.gusek(at)web.de> wrote:
> Oliver Fromme schrieb:
> > Michael Gusek wrote:
> > > Ich habe hier ein 192.168.0/24-Netz,
> > > bestehend aus dem FreeBSD-Router (mit ipfw), einigen Clients (Laptop,
> > > PC, Netzwerkdrucker) und eine Handvoll jails auf dem Router. Der Router
> > > hat zwei Netzwerkkarten, eine ins Internet (192.168.178.2) und eine ins
> > > lokale LAN (192.168.0.1). Ziel der Operation soll sein, dass alle
> > > Clients Zugriff auf das Internet haben, weiterhin sollen einige Ports
> > > aus dem Internet erreichbar sein, diese werden dann auf dem Router oder
> > > aber in einem der jails auf dem Router verwendet. Im Moment sehen meine
> > > Regeln so aus:
> > >
> > > 1 divert 8668 ip from any to any via em1
> > > 2 allow ip from any to any via lo0
> > > 3 deny ip from any to 127.0.0.0/8
> > > 4 deny ip from 127.0.0.0/8 to any
> > > 5 check-state
> > > 6 allow tcp from any to me dst-port 22 keep-state
> > > 7 allow ip from me to any keep-state
> > > 8 fwd 192.168.0.12,22 tcp from any to 192.168.178.2 dst-port 2222 keep-state
> > > 9 allow ip from 192.168.0.0/24 to any keep-state
> > > 10 deny ip from any to any
> > >
> > > Mit diesen Regeln komme ich mit dem Laptop ins Internet, dafür sorgt ja
> > > Regel 9 und 1, weiterhin funktioniert der ssh-forward auf das jail mit
> > > der IP 192.168.0.12. Was nicht geht, ist das ich Verbindungen aus dem
> > > Jail ins Internet aufbauen kann, obwohl es im gleichem IP-Bereich wie
> > > der Laptop liegt und somit Regel 9 anschlagen müsste.
> > [...]
> Nein, em1 ist das externe Interface. em0 ist das interne, hier sind auch
> die Ip-Adressen der jails konfiguriert, z.b. 192.168.0.12.

Aha, die Info hat gefehlt. Da konnte man ja nur raten.

Wie startest Du denn den natd, welche Optionen? Und wie
sieht der Internetzugang aus? ppp? Ist da noch ein
weiterer NAT-Router? Du schreibst, die externe IP-Adresse
sei 192.168.178.2, aber das ist ja auch eine RFC1918-
Adresse, also ist das entweder ein Tippfehler, oder da
muss noch ein weiteres NAT im Spiel sein.

Ausgabe von "ifconfig" könnte auch nicht schaden.

Hast Du mal mit tcpdump geguckt, ob Pakete rausgehen bzw.
Antwortpakete reinkommen, und ob die Quell- und Ziel-
Adressen in den Paketen korrekt sind?

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"Python is an experiment in how much freedom programmers need.
Too much freedom and nobody can read another's code; too little
and expressiveness is endangered."
        -- Guido van Rossum
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 05 Jan 2009 - 21:00:22 CET

search this site