1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

ipfw blockiert gre

Dieses Thema im Forum "FreeBSD - Netzwerk" wurde erstellt von qsx, 18 Oktober 2017.

  1. qsx

    qsx New Member

    Registriert seit:
    4 Oktober 2017
    Beiträge:
    4
    Moin,

    ich habe hier ein FreeBSD 11.1-RELEASE-p1 mit diversen gre-Interfaces, auf dem ich gerne mit ipfw firewallen würde. Aber sobald ich ipfw aktiviere, ist trotz Regeln, die das erlauben sollten, kein Verkehr über die gre-Interfaces mehr möglich:
    Code:
    root@deimos ~ 
    # ifconfig gre0                                                                                                    
    gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
            description: CHRiSNEW
            options=80000<LINKSTATE>
            tunnel inet6 2001:19f0:6c01:2a0:5400:ff:fe71:788e --> 2a01:4f8:bd:680:5054:ff:fec8:d6ee
            inet6 fe80::accc:935d:80d7:aeac%gre0 prefixlen 64 scopeid 0x4 
            inet6 fd42:7173:7800:46:0:42:fcde:3ca6 --> fd42:2950::1:6  prefixlen 128 
            inet 172.20.175.70 --> 172.23.234.193  netmask 0xffffffff 
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
            groups: gre 
    root@deimos ~ 
    # ping -c1 172.23.234.193                                                                                          
    PING 172.23.234.193 (172.23.234.193): 56 data bytes
    64 bytes from 172.23.234.193: icmp_seq=0 ttl=64 time=3.679 ms
    
    --- 172.23.234.193 ping statistics ---
    1 packets transmitted, 1 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 3.679/3.679/3.679/0.000 ms
    root@deimos ~ 
    # ipfw list                                                                                                        
    00100 allow ip from any to any via lo0
    00200 deny ip from any to 127.0.0.0/8
    00300 deny ip from 127.0.0.0/8 to any
    00400 deny ip from any to ::1
    00500 deny ip from ::1 to any
    00600 allow ipv6-icmp from :: to ff02::/16
    00700 allow ipv6-icmp from fe80::/10 to fe80::/10
    00800 allow ipv6-icmp from fe80::/10 to ff02::/16
    00900 allow ipv6-icmp from any to any ip6 icmp6types 1
    01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
    65000 allow ip from any to any
    65100 allow gre from any to any
    65535 deny ip from any to any
    root@deimos ~ 
    # ipfw enable firewall
    root@deimos ~ 
    # ping -c1 172.23.234.193                                                                                          
    PING 172.23.234.193 (172.23.234.193): 56 data bytes
    ping: sendto: Permission denied
    ^C
    --- 172.23.234.193 ping statistics ---
    1 packets transmitted, 0 packets received, 100.0% packet loss
    Überseh ich gerade irgendwas offensichtliches oder ist das kaputt?

    --qsx
     
  2. mark05

    mark05 Member

    Registriert seit:
    19 November 2003
    Beiträge:
    794
    Ort:
    Bergisch Gladbach
    hi

    gre ist protocol
    somit müstet du in richtung
    0100 allow gre from x to y

    denken

    holger
     
  3. qsx

    qsx New Member

    Registriert seit:
    4 Oktober 2017
    Beiträge:
    4
    Ja, aber ich habe doch `65100 allow gre from any to any`?
     
  4. qsx

    qsx New Member

    Registriert seit:
    4 Oktober 2017
    Beiträge:
    4
    poke?
     
  5. Crest

    Crest rm -rf /*

    Registriert seit:
    25 Juni 2008
    Beiträge:
    1.570
    Ort:
    /dev/random
    IPFW bricht normalerweise bei der ersten passenden Regel ab. Man kann das ändern indem man one_pass deaktiviert. Das macht sinn, wenn man nach manchen dingen wie NAT Regeln noch weiter machen will. Gerade seit FreeBSD 11.1 gehen mit den named states einige spannende Dinge ohne hässliche Hacks z.B. stateful filtering auf beiden Seiten eines NATs.
     
  6. KobRheTilla

    KobRheTilla used register

    Registriert seit:
    20 Januar 2011
    Beiträge:
    1.149
    Ping auf eine IP-Adresse, die nicht hinterm Tunnel liegt, geht bei aktiver Firewall?

    Rob
     
  7. qsx

    qsx New Member

    Registriert seit:
    4 Oktober 2017
    Beiträge:
    4
    Ja.
     
    Esjott gefällt das.