Firewall und Routing

Slacki

Member
habe gestern nacht eine freeBSD maschine aufgesetzt (mit 2 Netzwerkkarten).
leider komme ich von der maschine nicht nach draussen (kein www, kein ping, usw)

die /etc/rc.conf sieht so aus

# -- sysinstall generated deltas -- # Sat Mar 8 22:12:25 2008
# Created: Sat Mar 8 22:12:25 2008
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="10.0.0.1"
hostname="srv01.xxx.com"
#ifconfig_bge0="inet 193.138.213.101 netmask 255.255.255.128"
ifconfig_bge1="inet 10.0.0.101 netmask 255.255.255.0"
keymap="swissgerman.iso.acc"
linux_enable="YES"
moused_enable="YES"
moused_port="/dev/psm0"
moused_type="auto"
sshd_enable="YES"
pf_enable="NO"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""



bge1 ist tatsächlich mit einem router verbunden und es ist mir möglich von aussen per
ssh auf die maschine zuzugreifen. wenn ich dan aber versuche ports zu installieren kommt
er nicht raus.

routing sieht so aus (netstat -r)

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.0.0.1 UGS 0 817 bge1
10.0.0.0 link#2 UC 0 0 bge1
10.0.0.1 00:14:6c:7d:48:18 UHLW 2 0 bge1 934
localhost localhost UH 0 0 lo0
193.138.213.0/25 link#1 UC 0 0 bge0

Internet6:
Destination Gateway Flags Netif Expire
localhost localhost UHL lo0
fe80::%lo0 fe80::1%lo0 U lo0
fe80::1%lo0 link#3 UHL lo0
ff01:3:: fe80::1%lo0 UC lo0
ff02::%lo0 fe80::1%lo0 UC lo0


sollte doch eigentlich gehen, oder ?


das feuerwällchen macht mir auch zicken....kann mir jemand sagen woran dabei das problem ist ?

/etc/pf.conf
block in on bge1 all
block out on bge1 all
pass out on bge1 proto { tcp, udp, icmp } from any to any modulate state
pass in on bge1 proto tcp from any to any port ssh
pass in on bge1 proto tcp from any to any port www

sobald dieser ruleset aktiv ist komm ich per ssh nicht mehr drauf.


danke schon mal für eure tips...

lg
slacki
 
jane is klar ne :D
aber wie gesagt.... wenn pf enabled dann ssh tot :-(
also hab ich wohl ig was mit den rules vergeigt....
 
Ich seh' da nur ein Interface in der Konfiguration. An welchem hängt dein Netz, an welchem dein Internet?
 
nameserver ist korrekt... 10.0.0.1... löst auch namen nach ip auf....

bge1 (10.0.0) ist das angeschlossene netzwerk.....
bge0 hat zwar eine ip , aber ist noch nicht mit einem switch verbunden....
ein link besteht also nur zu bge1.....
per ssh kann ich auf die maschine kommen (wohl über bge1), aber warum komm ich
von der maschine nicht raus ? kann das sein das er versucht über bge0 nach draussen
zu kommen ?

gruss
slacki
 
ahaaaa.....
habe gerade "ifconfig bge0 remove" gemacht und siehe da ich komm nach draussen....
die maschine versucht also alles standartmässig über bge0 zu machen.... wie kann ich bge0
aktivieren und dennoch veranlassen das daten fürs internet über bge1 gehen ???

gruss
slacki
 
Du musst die Defaultroute ändern.

# route change default -interface bge1

Es kann auch sein, dass du die Subnetz-Masken falsch hast und deswegen falsch geroutet wird. Zeig mal die Ausgabe von ifconfig.
 
bge1 ist dein externes NIC und bge0 ist dein internes NIC. In pf.conf kannst Du festlegen über welches NIC welcher Netzwerkverkehr statt findet. Evtl. auch "nat" und "rdr" verwenden.
 
also mit

route change default -interface bge1

hab ich mich wieder selber ausgesperrt :-(

wie kann ich diese route wieder löschen (sobald mein kollege vor der maschine ist) ?


@morromett
hast mir eine beispiel rule oder eine leicht versändliche anleitung ?

die doofe firewall funktioniert immer noch nicht... ich hab nochmal im handbuch von freebsd nachgelesen.... nach meinem verständniss sollte das so funktionieren.

danke für eure hilfe!

slacki
 
Einfach zurückbiegen
# route change default -interface bge0
wahrscheinlich.

Ich würde auch erst nach den Masken schauen. Wenn man so mit den Routen rummurksen muss, stimmt irgendwas nicht.
 
ok.... mein kollege hat den befehl umgekehrt... ohne erfolg
fehlermeldung:

cant handle af 18

maschine neu gestartet, nun gehts wieda....
muss allerdings das bge0 löschen um nach drausen zu kommen.....

ifconfig nach start:

bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0e:7f:20:38:3f
inet 193.138.213.101 netmask 0xffffff80 broadcast 193.138.213.127
media: Ethernet autoselect (none)
status: no carrier
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0e:7f:20:38:3e
inet 10.0.0.101 netmask 0xffffff00 broadcast 10.0.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204

nach "ifconfig bge0 remove" :

bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0e:7f:20:38:3f
media: Ethernet autoselect (none)
status: no carrier
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0e:7f:20:38:3e
inet 10.0.0.101 netmask 0xffffff00 broadcast 10.0.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204

ohne bge0 komme ich ins netz.....
das alles ist nicht sooo ein grosses problem, die maschine hängt momentan bei
meinem kollegen in der schweiz zu hause im homenet.
morgen zieht die maschine zu einem privider um und bekommt pro karte 1 öffentliche ip.
evtl hat sich das problem dann von selbst erledigt....
mich hat nur die technik dahinter interessiert, man will ja verstehen warums ned geht... :-)

damit der server aber morgen zum provider ziehen kann muss ich unbedingt noch eine
firewall drauf packen.... mit dem script:

block in on bge1 all
block out on bge1 all
pass out on bge1 proto { tcp, udp, icmp } from any to any modulate state
pass in on bge1 proto tcp from any to any port ssh
pass in on bge1 proto tcp from any to any port www

sperre ich mich jedes mal selbst aus (per ssh)....
daseit hab ich den port doch freigegeben ???!!!

schönen abend und danke für die zahlreichen posts

slacki
 
Wenn die Maschine im HomeNet und nicht zwischen HomeNet und Internet hängt kann das ja nicht klappen.
 
@kamikaze
warum sollte das nicht gehen ? bge1 hat ip und von einem homenet das per router ins internet kann....
defaultrouter ist auf router des homenets gestellt......
wenn ich bge0 deaktiviere gehts ja auch ?!

@metro
klappt leider auch nicht........
wenn ich die wall starte mit pfctl -e bekomme ich diese fehlermeldung

No ALTQ support in kernel
ALTQ related functions disabled

kanns damit zusammen hängen ?

ich gugg mir mal nochmal das manual an... aber ich denk an 4 zeilen kann man doch ned sooo veil falsch machen ?!

gruss
slacki
 
kommando zurück :-)
mit der modi von metro funktioniert es.... es kickt mich nur in dem moment wo ich die wall starte... dannach ist einloggen per ssh aber wieder möglich.....

vielen dank für eure hilfe!!!!
jetzt kann ich ihn morgen ins offene netz hängen.. .evtl brauch ich euch dann nochmal :D

schönen abend
slacki
 
EIn paar mehr Zeilen täten vielleicht ganz gut. pf ist, und das ist auch gut so, einigermassen pingelig.

Das reicht so kaum, ich dachte die Regeln seien ein Auszug.
Bitte lies bei dem von mir geposteten link nach.

set skip on lo0

als eine der ersten options ist wohl auch ziemlich wichtig. Sonst blockt pf dein loopback
interface und dann wirds dunkel im Rechner.
Wie gesagt, openbsd faq.

Nachtrag:
kommando zurück :-)...
funktioniert es....
Du machst mich fertisch.
 
Last edited:
No ALTQ support in kernel
ALTQ related functions disabled

kanns damit zusammen hängen ?

Da es jetzt geht weißt du schon, daß es daran nicht liegt. Die Meldung bedeutet nur, daß du kein queuing mit altq machen kannst. Das geht mit dem Generic-Kernel nicht, weil da das Modul nicht drin ist.

Übrigens zwei Dinge:
  • mit
    Code:
    # pfctl -nf /etc/pf.conf
    kann man die Config-Datei auf Fehler testen bevor man sie tatsächlich lädt.
  • Man kann pf auch einfach über das rc.d-Script neustarten. Das geht mit
    Code:
    # /etc/rc.d/pf restart
    Dabei wird pf genauso gestartet wie beim Systemboot. Das ist imho insofern besser, als daß man beim Testen und im späteren Einsatz das gleiche Ergebnis erhält.

Gruß
 
Back
Top