pf problem

[casualx]

hallo zusammen

ich habe ein problem bei pf...möchte vom server nicht alle verbindungen nach draussen erlauben nur scheinnt dort die regel,im übrigen die selbe die auf einem client funzt, nicht zu funktionieren.

hier meine pf.conf

set skip on lo
puffy="{192.168.1.112}"
outgoing="{80, 443, 53, 22, 6667, 6669, 8118, 21, 2401, 5999, 25, 110, 995, 587,465,829,49152:65535}"
block in all
pass in quick on dc0 from 192.168.1.0/24 to $puffy
block out all

pass out on dc0 proto tcp from $puffy to any port $outgoing
pass out on dc0 proto udp from $puffy to any port 53

 

[KobRheTilla]

hier meine pf.conf

was sagt denn

pfctl -sr

Rob

 

[mark05]

hi

aeh dir ist klar das die blocks fuer alle interfaces gelten ausser fuer lo ?

ich denke mal ein

block log on dc0 all

sollte fuer in und out reichen , ansonsten musst du natuerlich auch
fuer das 2te interface regeln bauen

holger

 

[casualx]

danke an euch für eure antworten. hab den fehler doch noch gefunden...

set skip on lo

puffy="{192.168.1.112}"
outgoing="{80, 443, 53, 22, 6667, 6669, 8118, 21, 2401, 5999, 25, 110, 995, 587, 465, 829, 49152:65535}"

block out
block in

pass in on dc0 proto tcp from 192.168.1.0/24 to $puffy port 22
pass in on dc0 proto tcp from 192.168.1.0/24 to $puffy port 80


pass out on em0 proto tcp from any to any port $outgoing
pass out on em0 proto udp from any to any port 53

daraus lässt sich schliessen das mein (künfitger) server zwei interfaces hat wobei eins per dhcp vom provider seine ip etc. kriegt und eins ne statische ip hat die über ein gateway bzw. router an mein heimnetzwerk angeschlossen ist.

als ich das OS von der Installer cd installiert habe hat es aber explizit(ich hab das nochmal getestet) von dem interface installiert das per router in mein heimnetz integriert ist und deshalb hab ich anfangs gedacht es müsse der ausgehende verkehr auf diesem interface freigegeben werden.ich sag nur autsch....tut fast schon weh wenn manns hinterher betrachtet...lol

 

[mapet]

der installer fragt eigentlich, welche interfaces er konfigurieren soll.

 

[casualx]

ja das stimmt und ich hab dann dort gleich beide konfigriert aber war ein denkfehler meinerseits das ganze...ich hätt wohl mehr probleme gehabt wenns inet über das interface das mit dem router verbunden ist laufen würde...aber noch ein ganz fettes danke an alle für eure tipps und beiträge