mogbo
Banned
Hallo,
ich habe weder sonderliche Erfahrungen mit vServern, noch mit OpenBSD außerhalb von Laptops und Firewalls.
Habe gestern anhand von 2 Guides und eigenem Know_How ein Firewall-Script zusammengebaut und wollte es anschließend von außen mit:
testen, um zu sehen ob alles dementsprechend dicht ist.
Zu meinem leiden musste ich feststellen das immer nur ein Port angezeigt wird:
113 closed
(nach näherem Googeln liegt das wohl an der nat-Regel vom KVM-Host)
Zu meinem Setup und System:
Gestern frisch installiertes OpenBSD amd64 auf einem vServer mit KVM-Host
Anschließend installierte Software: zsh
Umsetzen vom sshd_config Port auf xxx.
Konfiguration von openntpd und /etc/pf.conf:
Nun zu den Fragen:
- Wie finde ich heraus, ob meine Firewall wirklich so läuft wie ich mir das wünsche (am liebsten via nmap)?
- Läuft bereits alles richtig und ich sehe nur das ssh-Port (xxx) aus mir unbekannten Gründen nicht?
ich habe weder sonderliche Erfahrungen mit vServern, noch mit OpenBSD außerhalb von Laptops und Firewalls.
Habe gestern anhand von 2 Guides und eigenem Know_How ein Firewall-Script zusammengebaut und wollte es anschließend von außen mit:
Code:
nmap -Pn x.x.x.x
nmap -sS x.x.x.x
nmap -O x.x.x.x
Zu meinem leiden musste ich feststellen das immer nur ein Port angezeigt wird:
113 closed
(nach näherem Googeln liegt das wohl an der nat-Regel vom KVM-Host)
Zu meinem Setup und System:
Gestern frisch installiertes OpenBSD amd64 auf einem vServer mit KVM-Host
Anschließend installierte Software: zsh
Umsetzen vom sshd_config Port auf xxx.
Konfiguration von openntpd und /etc/pf.conf:
Code:
ext_if="{vio0}"
locals="{0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 \
172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 224.0.0.0/3 \
192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 \
203.0.113.0/24}"
ssh_port="{ xxx }"
set block-policy drop
set loginterface vio0
set skip on lo0
match in all scrub (no-df random-id max-mss 1440)
block in all
pass out quick on $ext_if inet keep state
antispoof quick for $ext_if inet
block return out quick inet6 all
block in quick inet6 all
block in quick from { $locals urpf-failed no-route } to any
block out quick on $ext_if from any to { $locals no-route }
table <childrens> persist
block in quick proto tcp from <childrens> to any
# Blocken spezieller IP-Listen
# table <chuugoku> persist file "/etc/cn.zone"
# block in quick proto tcp from <chuugoku> to any port $ssh_port
pass in on $ext_if proto tcp to any port $ssh_port flags S/SA keep state \
(max-src-conn 5, max-src-conn-rate 5/5, overload <childrens> flush)
pass inet proto icmp icmp-type echoreq
Nun zu den Fragen:
- Wie finde ich heraus, ob meine Firewall wirklich so läuft wie ich mir das wünsche (am liebsten via nmap)?
- Läuft bereits alles richtig und ich sehe nur das ssh-Port (xxx) aus mir unbekannten Gründen nicht?