Frage zu PF-Regeln

Benedikt

Well-Known Member
Hallo,

Ich stehe vor einem Problem, das ich nicht ganz verstehe.

Ich habe zwei IP-Adressen, ext_ip1 und ext_ip2. Folgende Regeln habe ich dafür eingerichtet:

pass in on $if proto tcp from any to ext_ip1 port $open_tcp_ip1...

Das gleiche habe ich für ext_ip2:

pass in on $if proto tcp from any to ext_ip2 port $open_tcp_ip2

open_tcp_ip1 = "{ 22 }"
open_tcp_ip2 = "{ 22 }"

Jetzt ist es so, dass ich SSH nicht erreichen kann, wenn ich SSH auf der zweiten IP lauschen lasse. Stelle ich um auf die erste, dann gehts.

Was ist das Problem? Kann mir das jemand erklären? Ich verstehs nicht.
 
Aus welchem Subnetz sind die IP-Adressen von ext_ip1, ext_ip2 und if.
Was steht in deiner sshd_config bei "ListenAddress"?
Mit welchem Befehl willst Du ssh auf der 1. bzw. auf der 2. IP erreichen?
 
Hi,
ext_ip1 ist die Hauptadresse vom if, ext_ip2 ein alias. Wenn pf disabled ist funktioniert beides.

Ich habe testweise mal zwei ListenAddress-Zeilen eingefügt, eine für IP1, eine für IP2. Laut netstat lauscht SSH auch auf IP2.

Das Subnetz ist ein 85.214... von Strato.

Mit dem Befehl ssh -p PORT user@ip2 bzw ip1.
 
Ich meinte die internen IP-Adressen von von ext_ip1, ext_ip2 und if.
Warum Du diese pf-Regeln brauchst, verstehe ich nicht.
 
Ich verstehe nicht was du mit intern meinst.

Ich möchte die Regel verwenden, um Anfragen auf ext_ip2 an bestimmte offene Ports zu erlauben, ext_ip1 hat andere offene Ports.

Ist diese Regel dafür falsch? Wie müsste sie dann lauten?

Danke für deine Hilfe.
 
Mit Subnetz meinte ich die "internen" IP-Adressen. Weil Du die öffentliche IP-Adresse mitgeteilt hast.
Mit der Mitteilung, dass es ein Alias ist, ist mir alles klar.

EDIT:
In deiner Liste steht nur der Port 22. In der sshd_config kannst Du auch andere Ports für sshd festlegen. Deine pf-Regeln solltest Du dann anpassen.
 
Hi,
Wenn pf disabled ist funktioniert beides.

Und wenn pf enabled ist, aber diese Regeln in der pf.conf nicht drinn stehn, funktioniert dann auch beides?

EDIT:
Vielleicht solltest Du die sshd_config so konfigurieren wie Du sie gerne hättest. Danach kann man sich Gedanken machen über pf-Regeln, wenn man welche braucht.
 
Zuletzt bearbeitet:
Zurück
Oben