Hallo alle zusammen,
ich habe mir vor einigen Tagen ein OpenBSD (3.9) -Gateway für mein Heimnetz gebastelt. Als kleines Lernprojekt. Und ich dachte, wenn schon dedicated Firewall , dann OBSD. (Bin allerdings generell noch nicht lange mit Linux/Unix unterwegs)
Läuft soweit auch alles einwandfrei. Meine PF-Regeln sind schlicht (~ deny all incoming , pass all outgoing statefull, plus std-NAT) .
Jetzt möchte ich aber gerne noch einen Mechanismus umsetzen, den viele Hardware-Router mittlerweile implementiert haben. Ich habe jetzt 2 Tage verzweifelt im Netz gesucht und auch in diesem Forum (und diversen anderen) bin ich nicht fündig geworden.
Der Mechanismus soll wie folgt funktionieren:
Ein Paket geht raus über einen festgelegten Triggerport TP an eine Zieladdr. targIP. Die PF erkennt den Port TP, merkt sich daraufhin die targIP und die interne LAN-IP und öffnet nun einige vorgegebene Ports für traffic von außen -jedoch nur für die targIP- und routet auf diesen Ports eingehende Pakete an die entsprechende interne LAN-IP weiter. Die Ports sollen dann nach einer gewissen Zeitspanne der Inaktivität wieder geschlossen werden. (nützlich zB für ICQ-File-Transfers) .
Soweit ich das überblicke, gibt die PF-Syntax das nicht her. Was ich im Prinzip bräuchte wäre ein spezialisierter Proxy oder ein flexibel konfigurierbarer Proxy, den ich in meiner pf.conf verankern könnte. Im Prinzip macht der ftp-proxy ja fast dasgleiche (, oder?) Da sollte es doch irgendwas für OBSD geben , das zu finden ich nur zu blöde bin.
Wär doch schade, wenn ich mein Gateway nicht mind. funktional gleichwertig zu so einer 20€-Router-Box kriegen würde.
Für jeden noch so kleinen Tipp im voraus schon mal 1000 Dank. (würde ungern selber einen Proxy coden müssen.)
--ardy
ich habe mir vor einigen Tagen ein OpenBSD (3.9) -Gateway für mein Heimnetz gebastelt. Als kleines Lernprojekt. Und ich dachte, wenn schon dedicated Firewall , dann OBSD. (Bin allerdings generell noch nicht lange mit Linux/Unix unterwegs)
Läuft soweit auch alles einwandfrei. Meine PF-Regeln sind schlicht (~ deny all incoming , pass all outgoing statefull, plus std-NAT) .
Jetzt möchte ich aber gerne noch einen Mechanismus umsetzen, den viele Hardware-Router mittlerweile implementiert haben. Ich habe jetzt 2 Tage verzweifelt im Netz gesucht und auch in diesem Forum (und diversen anderen) bin ich nicht fündig geworden.
Der Mechanismus soll wie folgt funktionieren:
Ein Paket geht raus über einen festgelegten Triggerport TP an eine Zieladdr. targIP. Die PF erkennt den Port TP, merkt sich daraufhin die targIP und die interne LAN-IP und öffnet nun einige vorgegebene Ports für traffic von außen -jedoch nur für die targIP- und routet auf diesen Ports eingehende Pakete an die entsprechende interne LAN-IP weiter. Die Ports sollen dann nach einer gewissen Zeitspanne der Inaktivität wieder geschlossen werden. (nützlich zB für ICQ-File-Transfers) .
Soweit ich das überblicke, gibt die PF-Syntax das nicht her. Was ich im Prinzip bräuchte wäre ein spezialisierter Proxy oder ein flexibel konfigurierbarer Proxy, den ich in meiner pf.conf verankern könnte. Im Prinzip macht der ftp-proxy ja fast dasgleiche (, oder?) Da sollte es doch irgendwas für OBSD geben , das zu finden ich nur zu blöde bin.
Wär doch schade, wenn ich mein Gateway nicht mind. funktional gleichwertig zu so einer 20€-Router-Box kriegen würde.
Für jeden noch so kleinen Tipp im voraus schon mal 1000 Dank. (würde ungern selber einen Proxy coden müssen.)
--ardy
