• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Hilfe mit PF

soul_rebel

ist immer auf der flucht
Themenstarter #1
habe hier einen openbsd server zwischen drei netzen (lan1, dmz, lan2).
ich möchte den zugriff aus der dmz nach lan1 komplett sperren, dazu habe ich folgendes als erste filter regel in der pf.conf eingetragen:
Code:
block quick on $lan1_if from $dmz_if to any
leider kann ich problemlos von der dmz ins lan1 pingen und tracen... selbst ein
Code:
block quick on $dmz_if all
schafft keine abhilfe...
woran könnte das liegen?

Danke und Gruß
Hannes
 

asg

push it, don´t hype
#4
Vollständiger Regelsatz wäre schön.
Mach einen tcpdump auf Dein pflog0 und schau welche Regel da nen pass macht.
 

morph

Well-Known Member
#6
Ist nur ein kleiner Logikfehler.

Du blockst vom DMZ_IF, du mochtest aber das Subnetz blocken, das vom DMZ_IF benutzt wird. Wenn der Server in der DMZ ins LAN1 will, ändert sich ja nicht die Absenderadresse (es sei denn du hast da irgendein NAT-Konstrukt).
 

soul_rebel

ist immer auf der flucht
Themenstarter #7
@morph: ja, das habe ich auch eben gemerkt.
hab das missverstanden, dachte bei from und to würde der name des geräts ein "alle pcs dieses subnets" bedeuten und nicht die ip-adresse des geräts selbst.

geht jetzt alles :)
 

walt

Well-Known Member
#8
Geht das nur mir so oder habt Ihr auch diesen Darstellungsfehler ?
soul_rebel hat gesagt.:
block quick on $lan1_if from $dmz_if to any
$lan1_if wird auf meinem Schirm angezeigt als $lanl_if d.h.
aus der 1 wird ein kleines eL.

Ist das jetzt eine Eigenheit des Code-Blocks oder macht der Firefox
(hier Firefox 1.5.0.4 mit W2K) den Fehler ?

Wenn ich den Schriftgrad im Firefox mit CTRL++ anhebe wird aus dem kleinen eL
sofort eine 1.

Mit der Bildschirmlupe ist im Code-Block das 'l' mit der '1' identisch.
In der normalen Schriftart des Postings sind 'l' und '1' deutlich zu unterscheiden.
 

walt

Well-Known Member
#10
An mehreren unterschiedlichen Rechnern mit wechselnden
Bildschirmaufloesungen (800x600, 1024x768, 1280x1024) ist es immer das Gleiche:

Im Code-Block ist das 'l' mit der '1' identisch. Schriftgrad = CTRL+0
Erst mit CTRL++ kann ich die '1' erkennen.

Kann das jemand nachvollziehen ?