• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Frage zu PF-Regeln

Benedikt

Well-Known Member
Themenstarter #1
Hallo,

Ich stehe vor einem Problem, das ich nicht ganz verstehe.

Ich habe zwei IP-Adressen, ext_ip1 und ext_ip2. Folgende Regeln habe ich dafür eingerichtet:

pass in on $if proto tcp from any to ext_ip1 port $open_tcp_ip1...

Das gleiche habe ich für ext_ip2:

pass in on $if proto tcp from any to ext_ip2 port $open_tcp_ip2

open_tcp_ip1 = "{ 22 }"
open_tcp_ip2 = "{ 22 }"

Jetzt ist es so, dass ich SSH nicht erreichen kann, wenn ich SSH auf der zweiten IP lauschen lasse. Stelle ich um auf die erste, dann gehts.

Was ist das Problem? Kann mir das jemand erklären? Ich verstehs nicht.
 

morromett

Well-Known Member
#2
Aus welchem Subnetz sind die IP-Adressen von ext_ip1, ext_ip2 und if.
Was steht in deiner sshd_config bei "ListenAddress"?
Mit welchem Befehl willst Du ssh auf der 1. bzw. auf der 2. IP erreichen?
 

Benedikt

Well-Known Member
Themenstarter #3
Hi,
ext_ip1 ist die Hauptadresse vom if, ext_ip2 ein alias. Wenn pf disabled ist funktioniert beides.

Ich habe testweise mal zwei ListenAddress-Zeilen eingefügt, eine für IP1, eine für IP2. Laut netstat lauscht SSH auch auf IP2.

Das Subnetz ist ein 85.214... von Strato.

Mit dem Befehl ssh -p PORT user@ip2 bzw ip1.
 

Benedikt

Well-Known Member
Themenstarter #5
Ich verstehe nicht was du mit intern meinst.

Ich möchte die Regel verwenden, um Anfragen auf ext_ip2 an bestimmte offene Ports zu erlauben, ext_ip1 hat andere offene Ports.

Ist diese Regel dafür falsch? Wie müsste sie dann lauten?

Danke für deine Hilfe.
 

morromett

Well-Known Member
#6
Mit Subnetz meinte ich die "internen" IP-Adressen. Weil Du die öffentliche IP-Adresse mitgeteilt hast.
Mit der Mitteilung, dass es ein Alias ist, ist mir alles klar.

EDIT:
In deiner Liste steht nur der Port 22. In der sshd_config kannst Du auch andere Ports für sshd festlegen. Deine pf-Regeln solltest Du dann anpassen.
 

morromett

Well-Known Member
#8
Hi,
Wenn pf disabled ist funktioniert beides.
Und wenn pf enabled ist, aber diese Regeln in der pf.conf nicht drinn stehn, funktioniert dann auch beides?

EDIT:
Vielleicht solltest Du die sshd_config so konfigurieren wie Du sie gerne hättest. Danach kann man sich Gedanken machen über pf-Regeln, wenn man welche braucht.
 
Zuletzt bearbeitet: