FreeBSD 10: Firewall (pf) liest die Regeln nicht!

V

Vektoren

Member
Hallo liebes Forum :)

Ich habe heute FreeBSD 10 auf einem neuen Hetzner-Server installiert ... und es läuft soweit :) Da der Hetzner-Support (noch) kein 10er Image vorhält, musste ich die LARA quälen... ;)

Das neue pkg ist sehr angenehm im Vergleich zu den Ports :D (eine enorme Zeitersparnis)...
Doch leider lädt meine Firewall (pf) seine Regeln nicht! Manuell geht jedoch alles...

Auszug aus meiner /etc/rc.conf:
Code: 
zfs_enable="YES"
openntpd_enable="YES"

expiretable_enable="YES"
expiretable_flags="-v -d -t 24h bruteforce"

pf_enable="YES"
pf_rules="/etc/pf.conf"

pflog_enable="YES"
pflog_logfile="/var/log/pflog"

sshd_enable="YES"
dumpdev="NO"

Ich könnte schwören, dass ich die entsprechenden Zeilen von meinem FreeBSD 9.1-System kopiert habe... dort geht das :belehren:

Wenn ich manuell pfctl -e und pfctl -f /etc/pf.conf ausführe, geht alles. :rolleyes: Ist das ein Bug im 10er Release oder habe ich etwas übersehen?

Viele Grüße,
Thorsten.
 
Spontan würde ich sagen, dass "pf" geladen wird, wenn noch nicht alle NIC vorhanden sind. Schalte mal in der "/etc/syslog.conf" folgende Zeile ein und erstelle die Datei console.log im Ordner "var/log/":
Code: 
console.info          /var/log/console.log
Code: 
touch /var/log/console.log
Dann kannst du rebooten und in der Datei sollten die ganzen Bootmeldungen geloggt sein.

Zweitens hast du einen Hostnamen in der Config?
http://www.bsdforen.de/threads/pf-lädt-beim-booten-keine-rules.29822/#post-255952
 
Guten Morgen :)

@foxit hatte (beinahe) Recht: Zwar kennt er schon die NIC beim Start, jedoch hat diese keine IP-Adresse. :rolleyes: Ich war gestern gezwungen vorläufig auf DHCP (IPv4) zurück zu gehen, da die statische Vergabe der IP-Adresse nicht ging. Der andere Server (FreeBSD 9.1) läuft auch bei Hetzner, daher hatte ich keine Zweifel das die Konfiguration von statischen IP-Adressen genauso geht ... nämlich genau so, wie es im Hetzner-Wiki steht: http://wiki.hetzner.de/index.php/FreeBSD_installieren#IPv4

Das scheint (weder bei IPv6 noch bei IPv4) zu gehen. Da ich am Wochenende die LARA wohl nicht bekomme... werde ich mir jetzt mal ein Skript bauen, welches nach einem Neustart nach 5 Minuten die DHCP-Konfiguration wiederherstellt und den Server rebootet, sodass ich verschiedene Lösungen testen kann :rolleyes: Im Grunde müsste ich ja nur eine DHCP-Version meiner rc.conf als rcDHCP.conf speichern und per "cp"-Command per crontab wiederherstellen lassen und dann auch per crontab ein "reboot" ausführen (cp nach 5 Minuten, reboot nach 6 Minuten). Sollte ich per SSH wieder drauf kommen, kann ich die cron-Jobs deaktivieren...

@foxit: Danke für deinen Tipp mit dem Logging :D
 
Prima: Jetzt geht alles problemlos :)

Nachtrag: Falls jemand ebenfalls dieses Problem haben sollte... hier der pf.conf-Auszug:

Code: 
hostname="serverxxx.you-domain.com"

# IPv4:
ifconfig_re0="xxx.xxx.xxx.xxx netmask 255.255.255.224 broadcast yyy.yyy.yyy.yyy"
defaultrouter="zzz.zzz.zzz.zzz"

# IPv6:
ipv6_network_interfaces="re0"
ifconfig_re0_ipv6="inet6 2a01:4f8:RRR:EEE::/64 prefixlen 64"
ipv6_defaultrouter="fe80::1%re0"

Die Werte für x, y, z, R und E lassen sich bei Hetzner aus der Server-Konfiguration auslesen :)

Und damit ping und ping6 funktioniert, müssen diese Einträge in der pf.conf enthalten sein:
Code: 
# ICMP-Typen:
icmp_types4 = "{ echoreq, unreach, echorep }"
icmp_types6in = "{ echoreq, unreach, neighbrsol, neighbradv, routeradv }"
icmp_types6out = "{echoreq, unreach, neighbrsol, routersol }"

# ICMP durchlassen:
pass in on $if inet proto icmp all icmp-type $icmp_types4 keep state
pass out on $if inet6 proto icmp6 all icmp6-type $icmp_types6out
pass in on $if inet6 proto icmp6 all icmp6-type $icmp_types6in
 
Zuletzt bearbeitet:
Vektoren schrieb:
Code: 
# IPv6:
ipv6_network_interfaces="re0"
ifconfig_re0_ipv6="inet6 2a01:4f8:RRR:EEE::/64 prefixlen 64"
ipv6_defaultrouter="fe80::1%re0"
Zum Vergrößern anklicken....
Geht das mit IPv6 mittlerweile so einfach? Kann mich noch dran erinnern, dass da bei Hetzner ziemliche Verrenkungen nötig waren (hab da noch diesen Artikel von Martin Matuška vor Augen). Und da mit das selbst demnächst noch mal bevorsteht...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben