PF allgemeines Verständnis

[Suizidkommando]

Hallo,

ich bin jetzt nicht wirklich der Firewall Profi daher Hätte ich eine Frage:

Wenn ich in die pf.conf mein Regelset schreibe muss ich dann überhaupt geblockte Ports, IPs, etc. eingeben oder wird standardmäßig am Ende "block all" gesetzt (bzw kann man das eintragen)?

Danke & Gruß

Michael

 

[oenone]

am anfang... die letzte passende regel wird angewandt. wenn du "block all" ans ende schreibst, werden alle pakete geblockt, auch die vorher bei einer pass-regel gepasst hätten.

auf bald
oenone

PS: im pf-handbuch sind viele Beispiele drin.

 

[Suizidkommando]

Dankeschön, ich glaub da hätte ich dann ne Weil dumm geguckt wenn nichts durchgekommen wäre

 

[xcvb]

Hallo Suizidkommando.

Eine sehr gute Doku zu pf findest du unter: http://www.openbsd.org/faq/pf/de/index.html

Die hat mir auch sehr weitergeholfen...

Gruß
xcvb

 

[Suizidkommando]

Danke nochmal.

Hab aber eine neue Frage:
Aus der Doku, ein kleinwenig geändert:

pass in on $int_if from $int_net to any
pass out on $int_if from any to $int_net

Brauche das für das Hausinterne LAN. Wäre es jetzt sinvoll hier ein "keep state" zu benutzen?

Gruß

 

[simonz]

keep state ist eigentlich schon sinnvoll.
Ab OpenBSD 4.1 ist es auch standardmaessig aktiviert.

 

[bofh_hannibal]

am anfang... die letzte passende regel wird angewandt. wenn du "block all" ans ende schreibst, werden alle pakete geblockt, auch die vorher bei einer pass-regel gepasst hätten.

auf bald
oenone

PS: im pf-handbuch sind viele Beispiele drin.

Hi,

Dem kannst Du aber mit quick entgehen.

 

[oenone]

Hi,

Dem kannst Du aber mit quick entgehen.

lies: das kannst du mit quick beliebig komplex verwursteln.

quick sollte man nur benutzen wo es wirklich nötig ist. es bringt absolut keinen vorteil.

auf bald
oenone

 

[mapet]

keep state ist eigentlich schon sinnvoll.
Ab OpenBSD 4.1 ist es auch standardmaessig aktiviert.

gilt das nicht nur für tcp-flags S/SA? also dass man nicht mehr "keep state flags S/SA" eintragen muss, damit die verbindung beim aufbau in den statetable eingetragen wird?

 

[mapet]

Danke nochmal.

Hab aber eine neue Frage:
Aus der Doku, ein kleinwenig geändert:

pass in on $int_if from $int_net to any
pass out on $int_if from any to $int_net

Brauche das für das Hausinterne LAN. Wäre es jetzt sinvoll hier ein "keep state" zu benutzen?

Gruß

wenn du bei der ersten regel mit keep state arbeitest, dann kann der verkehr reinkommen, weil der dem state zugeordnet werden kann. die zweite regel ist ein eigenartig, weil du damit jeglichen verkehr von irgendwoher aufs interne netz zulässt... da aber die internen adressen eh nicht ins internet geroutet werden, bringt dir das nicht sehr viel, weil ja keine externer computer _deine_ internen adressieren kann (es sei denn, du verwendest öffentliche ip-adressen im internen netz).

hth,
marc

 

[Suizidkommando]

Danke für den Tip mal testen


Da fällt mir noch was ein, die Option antispoof, setzt man die bei dem Interface ein welches mit dem Internet verbunden ist, oder bei den Interfaces die mit dem Internen LAN verbunden sind?

also ich hab des so
"antispoof quick for tun0 inet"

 

[SolarCatcher]

Antispoof ist für alle Interfaces sinnvoll: Du willst verhindern, dass von außen anscheinend Pakete mit interner IP reinkommen, bzw. von innen Pakete mit externer IP rausgehen. Oder dass ein Paket von irgendwo ankommt, dass selbst genau die IP des Interfaces hat.

Das gilt sinngemäß auch für das extene IF. Und für das Loop-IF.

Gruß
SolarCatcher

 

[soul_rebel]

statt anti-spoof könnte man auf einem interface auch einfach allen traffic blocken der nicht aus dem subnetz kommt.

 

[Suizidkommando]

Danke.

Ja im prinzip will ich verhndern das jemand von außen (also dem Internet) Pakete mit einer internen IP-Adresse reinkommen.

soul_rebel meinst also auf die Internen Interfaces alles blocken was nicht aus dem gleichem Subnetz kommt? Dann würde ich aber warscheinlich auch den PC meines Bruders blocken, denk ich mal.