Verständnisfrage Betreff PF und Bridges

minimike

minimike

Berufsrevolutionär
Hi

Ok ist böse Firewall auf Bridge ist nicht RFC Komform.. Ich versuche gerade zu Verstehen wie ich bei PF auf einer Bridge den Traffic filtern kann. Kann ich meine Regeln je nach Device auf der Bridge nutzen?

Code: 
            172.16.200.0/24
Böses Netz | ral0 <-> ral1 | Gutes Netz

Es gibt so Sachen wie zum Beispiel MDNS die einfach nicht gescheit mit SNAT laufen wenn man zwei Netze hat. Der Aufwand nimmt überhand. Ich will meine Arbeit darauf nun auf null reduzieren. Im guten Netz habe ich diverse VM's und im Bösen Netz das Intranet. Dabei will ich auf ral0 festlegen was man vom bösen zum guten Netz abgreifen kann. Und dabei im selben Subnetz sein. Geht das nach Device oder muss ich da anders vorgehen? Hat jemand evtl ein paar gute Beispiele als Link?
 
hi

vielleicht solltes du dir mal anschauen warum mdns sich nicht mit nat verarbeiten laesst.

eine bridge , in der von dir angedachten form, ist nicht zu empfehlen.

letzen endlich muesste du bei pf dann fr alles regeln ala

pass quick out on bridge0 from 172.16.200.0/24 to ! 172.16.200.0/24 nat-to deine public ip

du kannst dann nicht nat-to ($wan_if) machen.

das ist nur ein beispeil.


holger
 
bridge(4):
Code: 
NOTES
  Bridged packets pass through pf(4) filters once as input on the receiving
  interface and once as output on all interfaces on which they are
  forwarded.  In order to pass through the bridge packets must pass any in
  rules on the input and any out rules on the output interface.  Packets
  may be blocked either entering or leaving the bridge.
Also nach obigem geht das in die Richtung:
pass on $gutes
pass on $boeses
block in on $boese from any to $magnicht...
 
ich habe ja nicht gesagt das pf ncht geht.

jedoch darfst du in jeder rule ein in oder aut angeben.

in der man page wird nicht von einem in interface oder out interface gesprochen

sondern von ala

block log on br0

pass in on br0 from boese to gut
pass out on br from gut to boese

wobei private addressen nach RFC 1918 genattet werden müssen-

ich kann dir nur empfehlen eine kopplung zwischen LAN und INTERNET nicht via bridge zu loesen.


holger
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben