ipfw und dynamic rules

qfat

Well-Known Member
hy,
habe mal nen bischen mit meiner firewall gespielt, und habe dabei etwas (für mich) komisches bemerkt:

habe folgende regeln:
Code:
add 00300 allow ip from any to any via lo0

#mein hardware router
add 00302 allow ip from me to 192.168.2.1 out via wi0
add 00303 allow ip from 192.168.2.1 to me in via wi0

#samba (netbios und filetransfer mit m$-rechnern)!
add 00306 allow tcp from any to me 139 in via rl0
add 00307 allow udp from any to me 138 in via rl0
add 00308 allow udp from any to me 137 in via rl0
add 00309 allow tcp from me 139 to any out via rl0
add 00310 allow udp from me 138 to any out via rl0
add 00311 allow udp from me 137 to any out via rl0

add 00400 check-state
add 00402 allow tcp from any to any out setup keep-state
add 00501 allow udp from any to any out keep-state
add 00700 allow icmp from any to any icmptypes 3
add 00701 allow icmp from any to any icmptypes 4
add 00702 allow icmp from any to any icmptypes 8 out
add 00703 allow icmp from any to any icmptypes 0 in
add 00704 allow icmp from any to any icmptypes 11 in
add 00800 deny log ip from any to any
nun habe ich, da ich kleine probleme mit meinem hardware router habe, obwohl ich die regeln 302 und 303 habe, wird die dns auflösung für ca. 30s gestört und in /var/log/messages steht folgendes:
Code:
May 16 21:58:34 Fabse kernel: Connection attempt to UDP 192.168.2.22:49652 from 192.168.2.1:53
May 16 21:58:35 Fabse kernel: Connection attempt to UDP 192.168.2.22:49653 from 192.168.2.1:53
May 16 21:58:35 Fabse kernel: Connection attempt to UDP 192.168.2.22:49654 from 192.168.2.1:53
May 16 21:58:35 Fabse kernel: Connection attempt to UDP 192.168.2.22:49655 from 192.168.2.1:53
May 16 21:58:35 Fabse kernel: Connection attempt to UDP 192.168.2.22:49656 from 192.168.2.1:53
May 16 21:58:35 Fabse kernel: Connection attempt to UDP 192.168.2.22:49657 from 192.168.2.1:53
May 16 21:58:35 Fabse kernel: Connection attempt to UDP 192.168.2.22:49658 from 192.168.2.1:53
May 16 21:58:36 Fabse kernel: Connection attempt to UDP 192.168.2.22:49659 from 192.168.2.1:53
May 16 21:58:36 Fabse kernel: Connection attempt to UDP 192.168.2.22:49660 from 192.168.2.1:53
May 16 21:58:36 Fabse kernel: Connection attempt to UDP 192.168.2.22:49661 from 192.168.2.1:53
May 16 21:58:36 Fabse kernel: Connection attempt to UDP 192.168.2.22:49662 from 192.168.2.1:53
habe dann mal die folgende zeile hinzugefügt:
Code:
add 00401 allow ip from any to any out keep-state
dann habe ich die zähler resettet und eine website angewählt.

doch nun das merkwürdige: das stichwort ip soll alle protokolle abdecken. doch trotzdem zeigten die zähler hinterher folgendes:
Code:
00401  356  177200 allow ip from any to any out keep-state
00402    3     246 allow tcp from any to any out setup keep-state
wie kann das sein? die regel 00401 deckt doch die 00402 ab!
habe bis jetzt das problem mit dem router nicht weiter verfolgt, werde aber prüfen, ob die neue regel dies verhindert.

hat jemand ideen, wie dies zustande kommt?

thx
 

qfat

Well-Known Member
also das problem mit der regel hab ich gelöst! :apaul:
es war xchat das noch offen war und dessen regel durch die alte regel erstellt wurde!
aber das mit dem router ist mir immer noch ein rätsel!!
da ja durch die regeln jeglicher verkehr zwischen meinem rechner und dem router erlaubt wird!
 

Maledictus

FreeBSD ftw
das er logt, wenn jemand versucht sich zu einem geschlossenen Port bei dir zu Verbinden.
mach es für den Anfang am besten aus. später, wenn alles läuft kannst du es ja wieder anstellen.
 

qfat

Well-Known Member
naja wenn der port geschlossen ist, hat das ja eh keinen sinn oder?
denn dann verschwinden ja nur die messages, aber das problem ist nicht gelöst.

aber thx jetzt hab ich wieder eine option mehr verstanden.
 
Oben