FreeBSD und IP Filter

Miggo

Well-Known Member
Ich hoffe, jemand weiss hierzu vielleicht was:
Bin vor kurzem von Debian auf FreeBSD umgestiegen, hab ISDN und so weiter eingerichtet und bin bis jetzt auch ziemlich begeistert vom BSD. Jetzt hab ich mir IP-Filter eingerichtet und habe da ein kleines, aber störendes Problem. Wenn ich den Rechner starte und per PPP ins Netz will, geht gar nichts. Das Problem wird aber durch ein ipf -Fa -f /etc/ipf behoben. Also kann es ja nicht an den definierten Regeln liegen. Hab dann versucht, diesen Befehl in die /etc/rc.conf.local zu schreiben, damit er mit Sicherheit ausgeführt wird, aber das brachte auch nichts.
Hier meine Konfiguration:
FreeBSD Release 5.1
Kernel-Optionen:
options IPFILTER
options IPFILTER_DEFAULT_BLOCK
Ausschnitt aus rc.conf:
ipfilter_enable="YES"
ipfilter_program="/sbin/ipf"
ipfilter_rules="/etc/ipf"
ipfilter_flags=""
Weiss absolut nicht, an was das liegen könnte.
Danke,
Miggo
 

CW

Netswimmer
Original geschrieben von Miggo
Ich hoffe, jemand weiss hierzu vielleicht was:
Bin vor kurzem von Debian auf FreeBSD umgestiegen, hab ISDN und so weiter eingerichtet und bin bis jetzt auch ziemlich begeistert vom BSD. Jetzt hab ich mir IP-Filter eingerichtet und habe da ein kleines, aber störendes Problem. Wenn ich den Rechner starte und per PPP ins Netz will, geht gar nichts. Das Problem wird aber durch ein ipf -Fa -f /etc/ipf behoben. Also kann es ja nicht an den definierten Regeln liegen. Hab dann versucht, diesen Befehl in die /etc/rc.conf.local zu schreiben, damit er mit Sicherheit ausgeführt wird, aber das brachte auch nichts.
Hier meine Konfiguration:
FreeBSD Release 5.1
Kernel-Optionen:
options IPFILTER
options IPFILTER_DEFAULT_BLOCK
Ausschnitt aus rc.conf:
ipfilter_enable="YES"
ipfilter_program="/sbin/ipf"
ipfilter_rules="/etc/ipf"
ipfilter_flags=""
Weiss absolut nicht, an was das liegen könnte.
Danke,
Miggo

Kannst du vielleicht die Fehlermeldung posten.

CW
 

Miggo

Well-Known Member
Re: Re: FreeBSD und IP Filter

Original geschrieben von ColdWisdom
Kannst du vielleicht die Fehlermeldung posten.

CW
Es treten in keinem Log konkrete Fehlermeldungen auf. Lediglich in messages kommt beim Systemstart:
kernel: IP Filter: v3.4.31 initialized. Default = block
all, Logging = disabled
(...)
kernel: IP Filter: already initialized
kernel: IP Filter: already initialized
Sonst bleibt alles stumm. Deshalb hab ich auch zunächst vermutet, dass die Filterregeln nicht geladen werden und er im Default-Modus (also block-all) arbeitet. Aber ein ipfstat -i bzw. -o direkt nach dem Systemstart gibt die von mir definierten Regeln aus. An dieser Ausgabe ändert dann logischerweise auch ipf -Fa -f /etc/ipf nichts.
Und leider weiss ich auch nicht, woher dieses +2mal initialisieren kommt.
Noch ein Nachtrag: den Verdacht mit den fehlerhaften Filterregeln kam auch dadurch, dass kurz nach Systemstart (als noch keinerlei Verbindung hergestellt war) in ipfstat blocked und not-matched Pakete nach draussen verzeichnet wurden, was jedoch nach dem manuellen Flushen und einlesen der Regeln aufgehört hat und keine not-matched Pakete während der Internetverbindung hinzukamen.
 
Zuletzt bearbeitet:

CW

Netswimmer
Re: Re: Re: FreeBSD und IP Filter

Original geschrieben von Miggo
Es treten in keinem Log konkrete Fehlermeldungen auf. Lediglich in messages kommt beim Systemstart:
kernel: IP Filter: v3.4.31 initialized. Default = block
all, Logging = disabled
(...)
kernel: IP Filter: already initialized
kernel: IP Filter: already initialized
Sonst bleibt alles stumm. Deshalb hab ich auch zunächst vermutet, dass die Filterregeln nicht geladen werden und er im Default-Modus (also block-all) arbeitet. Aber ein ipfstat -i bzw. -o direkt nach dem Systemstart gibt die von mir definierten Regeln aus. An dieser Ausgabe ändert dann logischerweise auch ipf -Fa -f /etc/ipf nichts.
Und leider weiss ich auch nicht, woher dieses +2mal initialisieren kommt.

Ich bin zwar nur ein OpenBSD-User und habe also nix mit ipf zu tun, doch wenn ich mir deine /etc/rc.conf ansehe, dann sehe ich, dass du z.B. bei der Angabe deiner ipf.conf nicht /etc/ipf.conf stehen hast, sondern /etc/ipf.

Das kann natürlich der Grund sein, weil er die Datei nicht findet.

Es sei denn, deine Datei heißt wirklich so.

Und bei den IPF-Flags hast du ja nichsts stehen und dort sollten doch, meiner Meinung nach, die Optionen rein, die du sonst manuell eingegeben hast.

Probiere diese zwei Möglichkeiten aus.

Gruß

CW
 
Zuletzt bearbeitet:

Miggo

Well-Known Member
Erst mal danke für die schnelle Antwort!!
Ja, die Datei heisst wirklich so. Habe sie schon früher auch auf /etc/ipf.conf kopiert, weil dieser Name in vielen HowTo's stand und ich nicht wusste, ob vielleicht standardmässig aus dieser Datei ausgelesen wird. Daran kann's also nicht liegen.
Jetzt habe ich in der rc.conf mal die Flag-Zeile in
ipfilter_flags="-Fa -f /etc/ipf"
abgeändert. Brachte aber auch nichts. Ich habe den Verdacht, dass der Grund für das alles höchstens in der mehrfachen Initialisierung liegen könnte, denn sonst läuft ja alles perfekt und ohne Fehlermeldung. Was ich allerdings absolut nicht weiss, ist, wie diese zustandekommt.
 

CW

Netswimmer
Original geschrieben von Miggo
Erst mal danke für die schnelle Antwort!!
Ja, die Datei heisst wirklich so. Habe sie schon früher auch auf /etc/ipf.conf kopiert, weil dieser Name in vielen HowTo's stand und ich nicht wusste, ob vielleicht standardmässig aus dieser Datei ausgelesen wird. Daran kann's also nicht liegen.
Jetzt habe ich in der rc.conf mal die Flag-Zeile in
ipfilter_flags="-Fa -f /etc/ipf"
abgeändert. Brachte aber auch nichts. Ich habe den Verdacht, dass der Grund für das alles höchstens in der mehrfachen Initialisierung liegen könnte, denn sonst läuft ja alles perfekt und ohne Fehlermeldung. Was ich allerdings absolut nicht weiss, ist, wie diese zustandekommt.

Setze mal in den Flags nur die Optionen rein, ohne die Datei.

CW
 

Miggo

Well-Known Member
Also muss mich hier nochmal kurz entschuldigen:
Hab mir nochmal man rc.conf zu Gemüte geführt und habe die ipf-Datei auf den Default-Namen kopiert und sonst nur ipfilter_enable gesetzt, da alle anderen Defaults mit meinem System übereingestimmt haben. Da ging es zwar immer noch nicht, aber ich wollte noch einmal die Regeln überprüfen und habe 2 Regeln an den Anfang gesetzt, die sämtlichen Verkehr erlauben. Danach ging alles auch kurz nach dem Systemstart.
Bevor ich hier also noch mehr die Zeit anderer verschwende, muss ich mich nochmal daranmachen.
Ich verstehe aber überhaupt nicht, warum sich das Problem beim Flushen und erneuten Laden der (anscheinend fehlerhaften) Regeln gibt. Wenn es wirklich an den Regeln liegen würde, dürfte es ja nach dem nochmaligen Laden nicht auf einmal gehen?! Naja, trotzdem danke...
 

CW

Netswimmer
Original geschrieben von Miggo
Also muss mich hier nochmal kurz entschuldigen:
Hab mir nochmal man rc.conf zu Gemüte geführt und habe die ipf-Datei auf den Default-Namen kopiert und sonst nur ipfilter_enable gesetzt, da alle anderen Defaults mit meinem System übereingestimmt haben. Da ging es zwar immer noch nicht, aber ich wollte noch einmal die Regeln überprüfen und habe 2 Regeln an den Anfang gesetzt, die sämtlichen Verkehr erlauben. Danach ging alles auch kurz nach dem Systemstart.
Bevor ich hier also noch mehr die Zeit anderer verschwende, muss ich mich nochmal daranmachen.
Ich verstehe aber überhaupt nicht, warum sich das Problem beim Flushen und erneuten Laden der (anscheinend fehlerhaften) Regeln gibt. Wenn es wirklich an den Regeln liegen würde, dürfte es ja nach dem nochmaligen Laden nicht auf einmal gehen?! Naja, trotzdem danke...

Macht nichts.

Du bist gerade dabei zu lernen, da macht man halt Fehler.

Ich kann dir nur empfehlen, die FAQs zu lesen.

In den früheren Threads habe ich einige Links gepostet, die als Tema deinen Paketfilter ipf haben.

Siehe sie dir an.

Gruß und viel Erfolg

CW
 
Zuletzt bearbeitet:
Oben