© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Thu, 21 Nov 2013, Marc Santhoff wrote:
> On Do, 2013-11-21 at 19:32 +1100, Peter Ross wrote:
>> Hallo,
>>
>> ich bin gerade dabei, eine Firewall mit IPFW zu verschlimmbessern.
>>
>> Ein wenig hat mich die Manpage verwirrt:
>>
>> The via keyword causes the interface to always be checked. If
>> recv or xmit is used instead of via, then only the receive or
>> transmit interface (respectively) is checked. By specifying
>> both, it is possible to match packets based on both receive and
>> transmit interface, e.g.:
>>
>> ipfw add deny ip from any to any out recv ed0 xmit ed1
>>
>>
>> okay, ich mache es mal andersrum, mit "pass":
>> ipf
w add pass ip from any to any out recv ed0 xmit ed1
>>
>> Muss ich trotzdem noch ein
>>
>> ipfw add pass ip from any to any in recv ed0
>>
>> hinzufuegen?
>
> Kommt drauf an. Wenn Du mit deny als default arbeitest, imho nicht. Die
> betreffenden Pakete fallen dann solange durch das Sieb bis die
> default-Regel sie verwirft.
Naja, die Mapage behandelt nur "out"und nicht "in" - und ich will die
Pakete ja auch "reinkommen" lassen.
Wenn ich das auch angeben muss, kann ich da aber, der Manpage nach, nicht
das ausgehende Interface abtesten..
D.h. ich kann mir "ungebetene" Pakete, die direkt an die Firewall gehen,
einladen, deshalb eben die "deny to me"-Regel.
> WEas ich allerdings grade nicht sicher weiß ist, ob Du nicht eine Regel
> für die umgekehrte Richtung ergänzen mußt, so gehen die Pakete ja nur
> per ed0 rein und nach ed1 wieder raus. Entweder das soll so sein,
> womöglich wird es von einm späteren "allow established" erledigt oder
> es fehlt eine Regel.
In meiner Anwendung kommt da noch ein "setup" ans Ende einer TCP-Regel
(und ein bisschen mehr), und es gibt eine "established"-Regel.
Ich habe nur die Manpage zitiert um das Problem zu verdeutlichen.
> Frostige Grüße mit -4°C,
> Marc
Danke. Wir haben Fruehling: vorgestern 31 Grad, dann in 90 Minuten runter
auf 20, naechsten Tag mieses Wetter und 17 Grad, heute wohl etwa 20.. rauf
und runter wie in Melblourne ueblich, manchmal "four seasons in a day"
Wir leben halt am Southern Ocean - Wind von Sueden=Wind aus der Antarktis,
Wind von Norden: heisser Wuestenwind.
Deutschland ist dagegen doch gut abgeschirmt, das schlechte Wetter muss
erst eimmal ueber die Britischen Inseln oder Skandinavien.
Vom Breitengrad her haben wir Mittelmeerwetter. Zumeist ganz nett:-)
Gruesse zurueck
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 21 Nov 2013 - 12:07:15 CET