Re: IPFilter, subversion, openssl

On Sun, 31 Mar 2013 23:34:42 +0200, bernhard(at)gtkx.de wrote:
> Hallo Experten,
>
> heute habe ich meine Virtuelle LANs umgebaut. Also auch meine Firewall
> neu konfiguriert (FreeBSD 8.3).
>
> Funktioniert soweit alles bestens. Nur eines stört mich, trotz FreeBSD
> Handbuch ist es mit nicht gelungen ipfilter dazu zu bewegen etwas ins
> log zu schreiben.
>
> im Handbuch steht, dass man dazu den Kernel neu bauen müsste und die
> optionen:
>
> options IPFILTER
> options IPFILTER_LOG
> options IPFILTER_DEFAULT_BLOCK
>
> angeben müsste.
>
> Gibt es keine andere Möglichkeit die options irgendwo einzutragen?
>
> Zum Beispiel in /boot/loader.conf ?

Es gibt noch immer Sachen, für die offenbar kein Kernelmodul
und keine "Tuuables" (für loader.conf) verfügbar sind. In
der Vergangenheit galt das z. B. auch für IPFW.

> Das zweite was ich gerne ändern möchte ist, dass default "block all"
> gesetz ist.

Es gibt laut /usr/src/sys/conf/NOTES diese hier:

options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging
options IPFILTER_LOOKUP #ipfilter pools
options IPFILTER_DEFAULT_BLOCK #block all packets by default

Das Weglassen von IPFILTER_DEFAULT_BLOCK wird (ohne, daß ich
das geprüft hätte) vermutlich den gegenteiligen Effekt haben.

Für IPFW gibt es vergleichbare Optionen:

options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPFIREWALL_FORWARD #packet destination changes
options IPFIREWALL_NAT #ipfw kernel nat support

Hier gibt es ein IPFIREWALL_DEFAULT_TO_ACCEPT.

> Subversion hab ich aufgegeben - lohnt nicht wirklich wegen ein paar scripte

Du kannst auch freebsd-update verwenden, um nur "src" zu
erneuern.

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message