lars
vom mars
Hi all,
OS = OBSD3.3
SW = ssh, fetchmail, sendmail, Netztools
1 NIC; pf läuft auf gleicher Maschine wie SW, daher kein
ext_if und int_if.
Absicht:
Ich will die Maschine von aussen per ssh erreichen können;
per fetchmail Mails abrufen und per sendmail schicken können;
mit Netztools Tests über lo0 machen können;
durch pf maximalen Schutz geniessen.
Ergebnis:
Ich kann mit ssh verbinden, mit fetchmail Mails abrufen, mit sendmail
schicken und Netztools Tests über lo0 machen.
Test:
pf.conf:
Alles auskommentierte habe ich hier nicht gepostet.
Frage:
Machen diese Regeln Sinn?
Wo kann ich die Regeln kürzen?
Gruss,
Lars
OS = OBSD3.3
SW = ssh, fetchmail, sendmail, Netztools
1 NIC; pf läuft auf gleicher Maschine wie SW, daher kein
ext_if und int_if.
Absicht:
Ich will die Maschine von aussen per ssh erreichen können;
per fetchmail Mails abrufen und per sendmail schicken können;
mit Netztools Tests über lo0 machen können;
durch pf maximalen Schutz geniessen.
Ergebnis:
Ich kann mit ssh verbinden, mit fetchmail Mails abrufen, mit sendmail
schicken und Netztools Tests über lo0 machen.
Test:
Code:
bash-2.05b$ sudo nmap -vv -P0 -O 192.168.1.12
Password:
No tcp, udp, or ICMP scantype specified, assuming SYN Stealth scan.
Use -sP if you really don't want to portscan (and just want to see what hosts are up).
Starting nmap 3.30 ( [url]http://www.insecure.org/nmap/[/url] ) at 2003-09-25 18:11 CEST
Host (192.168.1.12) appears to be up ... good.
Initiating SYN Stealth Scan against (192.168.1.12) at 18:11
Adding open port 22/tcp
The SYN Stealth Scan took 230 seconds to scan 1644 ports.
Warning: OS detection will be MUCH less reliable
because we did not find at least 1 open and 1 closed TCP port
For OSScan assuming that port 22 is open and port 34067
is closed and neither are firewalled
Interesting ports on (192.168.1.12):
(The 1643 ports scanned but not shown below are in state: filtered)
Port State Service
22/tcp open ssh
Device type: general purpose
Running: OpenBSD 3.X
OS details: OpenBSD 3.0 SPARC with pf "scrub in all" feature
OS Fingerprint:
(None)
TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
TCP ISN Seq. Numbers: A6B17EA9 A3E51547 F46D7352 F01A31F3
IPID Sequence Generation: Randomized
Nmap run completed -- 1 IP address (1 host up) scanned in 236.312 seconds
pf.conf:
Code:
# Normalization: reassemble fragments and resolve or reduce traffic ambiguities.
scrub in all
scrub out all
# connections and keep state, logging blocked packets.
block in log all
# pass in ssh
pass in on fxp0 proto tcp from any to fxp0 port 22 keep state
# loopback: pass in/out all and keep state
pass in on lo0 inet proto { tcp, udp, icmp } from { lo0, fxp0 } keep state
pass out on lo0 inet proto { tcp, udp, icmp } to any keep state
# fxp0: pass out all and keep state
pass out on fxp0 proto { tcp, udp, icmp } to any keep state
Alles auskommentierte habe ich hier nicht gepostet.
Frage:
Machen diese Regeln Sinn?
Wo kann ich die Regeln kürzen?
Gruss,
Lars