• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Aktuelle, langsam heranführende Tutorials zu ipfw?

mr44er

Well-Known Member
Themenstarter #1
Moin!

Als ich mit händisch firewallen anfing, habe ich mal blind mit pf angefangen und wurde da auch recht schnell warm damit.
Auch haben folgende Links bestens geholfen:

https://www.openbsd.org/faq/pf/
http://srobb.net/pf.html
https://calomel.org/pf_config.html

Dann kam jedoch die Sache mit dem traffic shaping und pf auf FreeBSD ist ja so ne Sache, weil eigene Weiterentwicklung und 'etwas stockend' bzw. auf OpenBSD zielführender.
Jetzt wollte ich mich nicht erst in OpenBSD reinfuchsen (noch nie angefasst), um pf optimalst für meine Zwecke nutzen zu können und bei FreeBSD bleiben. Also mal ipfw angetestet...rudimentäres funktioniert, aber ich werd mit der config nicht wirklich warm bzw. fühl mich oft dumm wie der Ochs vorm Berg, erst recht, wenn ich mich mal wieder remote ausgesperrt habe.

Ich habe ja gelesen, dass pf einfacher zu administrieren sei...aber ipfw wäre das erste Ding, wo ich sagen würde, dass es mir schwer fällt.
Habt ihr da langsam ranführende Tutorials, die nicht von der 1.0 sind und einfach wären?
 

Andy_m4

Well-Known Member
#4
Wobei jetzt die Manpage dazu eigentlich recht gut ist. Wenn man auch andere Firewalls a-la netfilter/iptables kennt, findet man sich eigentlich auf Anhieb zurecht.

Ansonsten hat auch Webmin ein ipfw (bezeichnet als BSD Firewall) Modul. Das ersetzt zwar immer noch kein Tutorial, aber macht die Konfiguration vielleicht etwas einfacher.
 

mapet

Active OpenBSD User
#6
Gibt es fwbuilder eigentlich noch? Das war auch eine gui Anwendung, mit der man Regelwerke für die unterschiedlichsten Filter erstellen konnte. Wäre jetzt zwar kein Tutorial im klassischen Sinn, aber um eine Idee zu haben, wie man was schreibt, geht das schon. Wobei die Umsetzung für pf seinerzeit fragwürdig war, da die config mit "quick" in jeder Regel auf first match wins gedreht wurde. Sowas macht händisches debugging im Nachhinein schwierig.
 

turrican

Well-Known Member
#7
Ja fwbuilder gibts noch - is auch nach wie vor gut (m.E.) - auch wenn ich die Listings, die da rauskommen, wg der Abstraktion ned unbedingt zu 100% gleich verstehe...
 

mr44er

Well-Known Member
Themenstarter #9
Webmin habe ich jetzt mal getestet, das klappt soweit ganz vorzüglich mit vorhandem config-Import. Nur: meine vorhandene NAT-config wird ebenfalls brav importiert und wenn ich diese editieren und 'nachschauen' möchte, wie das in der GUI aussieht, bin ich entweder zu doof oder es bleibt leer.

fwbuilder schau ich mir mal noch an, aber so langsam gehts dann doch in die Richtung, dass ich lieber pfsense hinsetze.:rolleyes:
 

mr44er

Well-Known Member
Themenstarter #12
Ich seh schon, es läuft auf OPNSense raus. Irgendwie dachte ich, dass der AES-NI Zwang bei OPNSense wäre.
 

turrican

Well-Known Member
#13
...es läuft auf OPNSense raus... dass der AES-NI Zwang bei OPNSense wäre.
Nicht die schlechteste Wahl.

Die pfsense erstellt bei Installation auch ne sog. "Unique Netgate ID" (seit 2.3.3) welches die Install potenziell identifizierbar macht. Hatte mir persönlich z.B. nicht gepaßt, nicht zuletzt deswegen bin ich zu OPNsense gewechselt.