On Do, 2013-11-21 at 19:32 +1100, Peter Ross wrote:
> Hallo,
>
> ich bin gerade dabei, eine Firewall mit IPFW zu verschlimmbessern.
>
> Ein wenig hat mich die Manpage verwirrt:
>
> The via keyword causes the interface to always be checked. If
> recv or xmit is used instead of via, then only the receive or
> transmit interface (respectively) is checked. By specifying
> both, it is possible to match packets based on both receive and
> transmit interface, e.g.:
>
> ipfw add deny ip from any to any out recv ed0 xmit ed1
>
>
> okay, ich mache es mal andersrum, mit "pass":
> ipfw add pass ip from any to any out recv ed0 xmit ed1
>
> Muss ich trotzdem noch ein
>
> ipfw add pass ip from any to any in recv ed0
>
> hinzufuegen?
Kommt drauf an. Wenn Du mit deny als default arbeitest, imho nicht. Die
betreffenden Pakete fallen dann solange durch das Sieb bis die
default-Regel sie verwirft.
Alles andere wird mit "first come first serve" behandelt, also wenn eine
Regel ein Paket weiterleitet, isses weg, die anderen Regeln kriegen es
nicht zu sehen.
Wenn Du also noch zusätzlich mit "any to any" Verbindungen erlaubst, die
Du eigentlich nicht willst - any kann beispielsweise auch lokal sein -
tust Du das Gegenteil von dem, was beabsichtigt ist.
Bei umgekehrter Logik, also default to allow, müßte eine Regel diesen
Verkehr explizit verbieten.
WEas ich allerdings grade nicht sicher weiß ist, ob Du nicht eine Regel
für die umgekehrte Richtung ergänzen mußt, so gehen die Pakete ja nur
per ed0 rein und nach ed1 wieder raus. Entweder das soll so sein,
womöglich wird es von einm späteren "allow established" erledigt oder
es fehlt eine Regel.
Frostige Grüße mit -4°C,
Marc
-- Marc Santhoff <M.Santhoff(at)web.de> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 21 Nov 2013 - 11:41:38 CET