Hallo!
Arbeite mich grade durch das Thema "Firewall mit ipfw" und hab dazu auch schon einiges gelesen und auch ausprobiert. Dabei ist mir etwas Merkwürdiges im ansonsten hervorragenden Buch "The Complete FreeBSD" aufgefallen.
Chapter22: Firewalls, IP aliasing and proxies, page 392 (ziemlich weit unten):
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from an to any in via ${oif} setup
Da in den vorher angeführten Regeln bezüglich TCP nur folgendes vorkam:
# Allow TCP through if setup succeeded
$[fwcmd} add pass tcp from any to any established
kann meiner bescheidenen Meinung nach von mir (also Firewallrechner oder Rechner im LAN hinter dieser Firewall) aus keinerlei TCP-Verbindung aufgebaut werden, da ja das Setup über das externe Interface verboten wurde und klarerweise noch keine "established"-Verbindung besteht.
Erst nach dem ich diese Zeile folgendermaßen modifiziert habe, hat mein Firewallskript endlich funktioniert:
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from an to any in recv ${oif} setup
Meine Frage nun: Sitze ich heute schon eindeutig zu lange vor der Kiste oder haben die da einen Fehler im Buch?
Arbeite mich grade durch das Thema "Firewall mit ipfw" und hab dazu auch schon einiges gelesen und auch ausprobiert. Dabei ist mir etwas Merkwürdiges im ansonsten hervorragenden Buch "The Complete FreeBSD" aufgefallen.
Chapter22: Firewalls, IP aliasing and proxies, page 392 (ziemlich weit unten):
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from an to any in via ${oif} setup
Da in den vorher angeführten Regeln bezüglich TCP nur folgendes vorkam:
# Allow TCP through if setup succeeded
$[fwcmd} add pass tcp from any to any established
kann meiner bescheidenen Meinung nach von mir (also Firewallrechner oder Rechner im LAN hinter dieser Firewall) aus keinerlei TCP-Verbindung aufgebaut werden, da ja das Setup über das externe Interface verboten wurde und klarerweise noch keine "established"-Verbindung besteht.
Erst nach dem ich diese Zeile folgendermaßen modifiziert habe, hat mein Firewallskript endlich funktioniert:
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from an to any in recv ${oif} setup
Meine Frage nun: Sitze ich heute schon eindeutig zu lange vor der Kiste oder haben die da einen Fehler im Buch?