Toon posts:

[OpenBSD] Firewall pf ingesteld maar

Pagina: 1
Acties:

woensdag 26 maart 2003 23:27

Acties:
  • active2
  • Registratie: Juni 2001
  • Laatst online: 26-10-2024

active2

Google is your friend

Topicstarter
er zit een foutje in :)

Ik heb de volgende rules met pfctl geladen en nu kan ik van elke pc binnen mijn netwerk internetten en doen maar als ik vanaf de OpenBSD bak zelf probeer te pingen of te internetten lukt dat niet en ik snap niet wat ik fout gedaan heb ik heb de volgende howto gevolgd:
OpenBSD Firewall

En dit zijn mijn rules:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

# Nieuwe Firewall
 
# Als eerste de variables dan hoeven we niet 10 keer het zelfde te tikken. :P
external="ppp0"
internal="rl0"
loopback="lo0"
private="{ 10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/24, 255.255.255.255/32 }"
portrange="{ 21, 22, 80 }"
 
# Alle pakketten die gefragmenteerd zijn checken en doorsturen.
scrub in all
 
# Network Address Translation toepassen
nat on ppp0 from 192.168.0.0/24 to any -> ppp0
 
# Eerst gaan we alles wat van buitenaf komt blokkeren:
block in on $external all

# Dan alles van prive netwerken op de externe interface blokkeren (spoofing)
block in quick on $external from $private to any
 
# Accepteren dat er dns en op poort 80 requests naar buiten gedaan mogen worden
# Kijk of deze verbindingen ook een SYN of ACK flag bevatten om te kijken of er
# geen port scanners aan de gang zijn.
pass in quick proto udp from 192.168.0.0/24 to any port = 53 keep state
pass in quick proto tcp from 192.168.0.0/24 to any port = 21 flags S/SA modulate state
pass in quick proto tcp from 192.168.0.0/24 to any port = 22 flags S/SA modulate state
pass in quick proto tcp from 192.168.0.0/24 to any port = 80 flags S/SA modulate state

Google, Het mirakel van de 21e eeuw!!!!

donderdag 27 maart 2003 00:42

Acties:

Verwijderd

Hoi,

allereerst: naar mijn mening een aardig nette conf. Ik neem aan dat je obsd 3.2 gebruikt

Maar, de howto die jij gebruikt is nogal out of date, helaas.
http://www.muine.org/~hoang/openpf.html is een wat nieuwere (plat? http://docs.bsdaemon.be/docs/security/openbsd-pf.txt check deze)
daarnaast op www.deadly.org staan ook howto's en dergelijke.

Via die site kwam ik een tijdje geleden op een Wiki. Daar staat veel info en je kunt ook zelf info toevoegen :)
http://www.obsd.pronym.org/wiki/

Wat je kunt gebruiken bij 'debuggen' is VIm met syntax highlighting:
Deze in de goede dir zetten: http://www.sentia.org/downloads/pf.vim
En dat in VIm: setf pf en dan: syntax on

Daarnaast maak je geen gebruik van antispoof.
op www.xs4all.nl/~hanb staan btw nog andere config examples.

(om nu in te gaan op je vraag waarom het niet werkt)

# Dan alles van prive netwerken op de externe interface blokkeren (spoofing)
block in quick on $external from $private to any

Da's nou niet nodig want je blocked op external al alles:

# Eerst gaan we alles wat van buitenaf komt blokkeren:
block in on $external all

En dan komt dit:
# Accepteren dat er dns en op poort 80 requests naar buiten gedaan mogen worden
Voor de duidelijkheid: je bedoelt dus dat iedereen die achter NAT zit DNS/WWW/SSH/FTP mag doen (note: met FTP ga je problemen krijgen.. check FTP-proxy in 1 van bovenstaande docu's)
# Kijk of deze verbindingen ook een SYN of ACK flag bevatten om te kijken of er
# geen port scanners aan de gang zijn.
pass in quick proto udp from 192.168.0.0/24 to any port = 53 keep state
pass in quick proto tcp from 192.168.0.0/24 to any port = 21 flags S/SA modulate state
pass in quick proto tcp from 192.168.0.0/24 to any port = 22 flags S/SA modulate state
pass in quick proto tcp from 192.168.0.0/24 to any port = 80 flags S/SA modulate state
Dat snap ik dan niet. Je zegt hier: 'een inkomende connectie met protocol tcp vanaf 192.168.0.0/24 naar alle IPv4's port 80 is moet met voorrang op andere regels worden doorgelaten'. Volgens mij moet dat pass out zijn voor uitgaand MAAR dat maakt niet uit want je zegt niet dat uitgaand verkeer standaard NIET mag. Dus deze regel is 'nutteloos' op dit moment. Via pfsctl -s all kun je overigens je effectieve rules + statistieken bekijken.

Wanneer je wilt dat anderen kunnen connecten naar jouw FTP/SSH/WWW/DNS dan moet het idd pass in zijn.

Maar goed dan weet ik nog niet hoe het komt dat je vanaf jouw OpenBSD bak niet kunt pingen/internetten en alles wat achter NAT staat wel.... misschien kun je iets met die URL's die ik gaf.. Succes!

edit:
hmm nog 'ns gelezen ondanks dat ik die laatste 4 rules onlogisch vind, zeg je daar toch van 192.168.0.0/24 terwijl het verkeer van je OpenBSD bak niet standaard van 192.168.0.0/24 afkomt maar van ppp0 (ivm. default route)

[ Voor 15% gewijzigd door Verwijderd op 27-03-2003 00:49 ]

donderdag 27 maart 2003 09:07

Acties:
  • miniBSD
  • Registratie: Augustus 2002
  • Laatst online: 20-12-2023

miniBSD

Voor verkeer van en naar de server moet het volgende nog toevoegen.
code:
1

pass out on $external proto { udp,tcp,icmp }  from $external to any keep state

Dit zorgt dat het verkeer herkent kan worden (statefull), meer hierover vindt je in de howto's.

Quidquid latine dictum sit, altum sonatur (Whatever is said in Latin sounds profound).

Reageer