pbtraveller
Well-Known Member
Hi,
wollte auf meinem Router (Freebsd 8.1-RELEASE) ein paar Firewall-Regeln aufsetzen und hierfür pf benutzen.
Der Router ist mit vr0 am ADSL-Modem angeschlossen und vr1-vr3 sowie wlan0 bilden bridge0.
Der Router ist für das NAT zuständig und soll außerdem den Zugriff aufs WAN (surfen im Netz etc.) von einem host, der über vr2 angeschlossen ist, untersagen. Der Zugriff auf diesen Rechner von anderen Rechnern im LAN soll aber möglich bleiben.
Ich habe also folgedes in meine /etc/pf.conf eingetragen:
###############
extif = "tun0"
intif = "bridge0"
host1 = "{192.168.1.8}"
host2 = "{192.168.1.6}"
table <darfnichtraus> { $host1 $host2}
table <nichtintern> {!192.168.1.0/24}
nat on $extif from $intif:network to any -> ($extif)
block drop out log quick on $extif from <darfnichtraus> to <nichtintern>
#################################
Für einen Augenblick schien es zu funktioniert. Jetzt aber kann ich von host2 weiter im Netz surfen, E-Mails verschicken etc.
Was mach ich falsch?
Noch eine grundsätzliche Frage. Nach meiner Vorstellung könnte ich das obige theoretisch dadurch erreichen, dass ich entweder den ausgehenden Verkehr auf $extif blocke, der von host2 kommt und ins WAN will (wie im obigen Beispiel versucht), oder den eingehenden Verkehr auf $intif, der von host2 kommt und ins WAN geht oder habe ich hier etwas nicht verstanden? Eigentlich dürfte das doch, insbesondere wenn ich die Regel mit "quick" verwende, keinen Unterschied machen.
Danke für Eure Hilfe!
Gruß
pbtraveller
wollte auf meinem Router (Freebsd 8.1-RELEASE) ein paar Firewall-Regeln aufsetzen und hierfür pf benutzen.
Der Router ist mit vr0 am ADSL-Modem angeschlossen und vr1-vr3 sowie wlan0 bilden bridge0.
Der Router ist für das NAT zuständig und soll außerdem den Zugriff aufs WAN (surfen im Netz etc.) von einem host, der über vr2 angeschlossen ist, untersagen. Der Zugriff auf diesen Rechner von anderen Rechnern im LAN soll aber möglich bleiben.
Ich habe also folgedes in meine /etc/pf.conf eingetragen:
###############
extif = "tun0"
intif = "bridge0"
host1 = "{192.168.1.8}"
host2 = "{192.168.1.6}"
table <darfnichtraus> { $host1 $host2}
table <nichtintern> {!192.168.1.0/24}
nat on $extif from $intif:network to any -> ($extif)
block drop out log quick on $extif from <darfnichtraus> to <nichtintern>
#################################
Für einen Augenblick schien es zu funktioniert. Jetzt aber kann ich von host2 weiter im Netz surfen, E-Mails verschicken etc.
Was mach ich falsch?
Noch eine grundsätzliche Frage. Nach meiner Vorstellung könnte ich das obige theoretisch dadurch erreichen, dass ich entweder den ausgehenden Verkehr auf $extif blocke, der von host2 kommt und ins WAN will (wie im obigen Beispiel versucht), oder den eingehenden Verkehr auf $intif, der von host2 kommt und ins WAN geht oder habe ich hier etwas nicht verstanden? Eigentlich dürfte das doch, insbesondere wenn ich die Regel mit "quick" verwende, keinen Unterschied machen.
Danke für Eure Hilfe!
Gruß
pbtraveller