Hilfe mit PF

soul_rebel

ist immer auf der flucht
habe hier einen openbsd server zwischen drei netzen (lan1, dmz, lan2).
ich möchte den zugriff aus der dmz nach lan1 komplett sperren, dazu habe ich folgendes als erste filter regel in der pf.conf eingetragen:
Code:
block quick on $lan1_if from $dmz_if to any
leider kann ich problemlos von der dmz ins lan1 pingen und tracen... selbst ein
Code:
block quick on $dmz_if all
schafft keine abhilfe...
woran könnte das liegen?

Danke und Gruß
Hannes
 
Hast du vielleicht ein set skip on $dmz_if oder so davor?

Es wäre nicht schlecht wenn du die ganze pf.conf posten würdest.

/dev/urandom
 
Vollständiger Regelsatz wäre schön.
Mach einen tcpdump auf Dein pflog0 und schau welche Regel da nen pass macht.
 
Ist nur ein kleiner Logikfehler.

Du blockst vom DMZ_IF, du mochtest aber das Subnetz blocken, das vom DMZ_IF benutzt wird. Wenn der Server in der DMZ ins LAN1 will, ändert sich ja nicht die Absenderadresse (es sei denn du hast da irgendein NAT-Konstrukt).
 
@morph: ja, das habe ich auch eben gemerkt.
hab das missverstanden, dachte bei from und to würde der name des geräts ein "alle pcs dieses subnets" bedeuten und nicht die ip-adresse des geräts selbst.

geht jetzt alles :)
 
Geht das nur mir so oder habt Ihr auch diesen Darstellungsfehler ?
soul_rebel schrieb:
block quick on $lan1_if from $dmz_if to any

$lan1_if wird auf meinem Schirm angezeigt als $lanl_if d.h.
aus der 1 wird ein kleines eL.

Ist das jetzt eine Eigenheit des Code-Blocks oder macht der Firefox
(hier Firefox 1.5.0.4 mit W2K) den Fehler ?

Wenn ich den Schriftgrad im Firefox mit CTRL++ anhebe wird aus dem kleinen eL
sofort eine 1.

Mit der Bildschirmlupe ist im Code-Block das 'l' mit der '1' identisch.
In der normalen Schriftart des Postings sind 'l' und '1' deutlich zu unterscheiden.
 
An mehreren unterschiedlichen Rechnern mit wechselnden
Bildschirmaufloesungen (800x600, 1024x768, 1280x1024) ist es immer das Gleiche:

Im Code-Block ist das 'l' mit der '1' identisch. Schriftgrad = CTRL+0
Erst mit CTRL++ kann ich die '1' erkennen.

Kann das jemand nachvollziehen ?
 
Zurück
Oben