pf und named - Problem / kein Routen möglich
So. Jetzt bin ich mit meinem Latein am Ende. Das kann doch nicht so schwer sein, einen simplen Router mit OpenBSD aufzusetzen. Seit mehr als einem Monat schlage ich mich schon damit rum und es wird und wird nix. Letzter Versuch jetzt! ALSO:
1. Problem:
In einem anderen Thread (OpenBSD - Installation / OpenBSD-Router Teil 2,
http://www.bsdforen.de/forums/showthread.php?s=&threadid=1702&perpage=15&pagenumber=1 ) habe ich zum Schluß ein Problem der folgenden Natur gehabt:
DNSMASQ: bind failed: Address already in use
router demasq: bind failed: Adress already in use
router demasq: FAILED TO START UP
current riet mir letztendlich dazu, den laufenden
named zu killen. Sobald ich das jedoch mache, ist der Chaching Nameserver deaktiviert. Nach dem killen liefert mir
zwar richtgerweise keine Ausgabe mehr, aber ein simples ICMP basiertes anpingen eines Hosts
funktioniert danach nicht mehr. Das kann also nicht des Problems Lösung sein. Außerdem wird durch den o.g. kill-Befehl der
named erst nach dem booten gekillt, also manuell. Das Problem sollte aber nach Möglichkeit dauerhaft beim booten schon erledigt sein.
2. Problem:
Es ist mir von allen Clients im Netz hinter dem Router möglich, irgendwelche Server im lokalen Netz oder im Internet anzupingen, sämtliche andere Dienste bleiben mir verwehrt. Kein
ICQ, kein
ftp, kein
www, NIX!
Damit Ihr Euch in Ruhe ein Bild von meiner Situation verschaffen könnte, werfe ich mal meine selbst entwickwelte
pf.conf in den Raum:
## Makros
netzkarte = "rl0"
lankarte = "ne3"
herakles = "192.168.0.10"
junk_zero = "192.168.0.11"
kobra = "192.168.0.12"
tille = "192.168.0.13"
freddi = "192.168.0.16"
dienste = "{ ssh, ftp, auth, http, www }"
## Tables
table <strasse> { 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.16 }
## Options
set block-policy return #wenn filter zutrifft, wird icmp unreachable gemacht
set loginterface $netzkarte
set optimization conservative #mehr speicher und cpu nutzung, dafuer werden idle connections gehalten
set timeout interval 10 #nach X sekunden werden unvollstaendige pakete geloescht
set timeout frag 30 #nach X sekunden laeuft ein unyusammengesetztes paket ab und wird in timeout interval geschoben
## Scrub - saeubern, waschen - fuegt fragmentierte pakete zusammen, schmeisst TCP pakete raus, die ungueltige flags haben - evtl. probleme bei einigen spielen
scrub in on $netzkarte all random-id min-ttl 15 max-mss 1400 fragment reassemble
## NAT
nat on $netzkarte from $lankarte/24 to any -> ($netzkarte)
#nat on $Ext from $IntNet to any -> $Ext static-port
block in on $lankarte all
pass in on $lankarte from <strasse> to any
block in on $netzkarte all
pass in on $netzkarte inet proto tcp from any to any port $dienste flags S/SAFR keep state label ServicesTCP
# block in on $lankarte all
# pass in on $lankarte from <strasse> to any
#block in on $netzkarte all
#pass in on $netzkarte inet proto tcp from any to any port $dienste flags S/SAFR keep state label ServicesTCP
#pass in on $netzkarte inet proto udp from any to any port $dienste keep state label ServicesUDP
#pass in on $netzkarte inet proto udp from any to any port 53 keep state
#pass in on $netzkarte inet proto tcp from any to any port 80 flags S/SAFR keep state
pass in on $netzkarte all
pass in on netzkarte all
pass out on $netzkarte all
pass in on $lankarte all
pass out on $lankarte all
#pass in all
#pass out all
# pass in on $netzkarte inet proto { tcp, udp, icmp } from any keep state
# pass out on $netzkarte inet proto { tcp, udp, icmp } to any keep state
# pass in on $lankarte all
# pass out on $lankarte all
An den vielen, vielen Rauten bei den Firewallregeln könnt Ihr sehen, wie verzweifelt ich sein muß, daß ich das alles schonmal ausgetestet habe... Ich weiß wirklich nicht weiter, selbst studieren diverser FAQs, auch die offizielle
pf-FAQ bringt mich nicht weiter. So langsam glaube ich schon gar nicht mehr an einen Fehler in der pf.conf, sondern an was anderes viiiieeeel trivialeres. An meiner FH hab ich auch schon diverse Pauker gefragt, ob die nich Ahnung von pf bei OpenBSd hätten, aber ich hab wohl nur Pech...
VERZWEIFELTER HILFERUF! Ich komme echt nicht weiter! Ich hätte so gern nen sicheren Router für meine TDSL-Flat...
Ach ja, den Caching Nameserver und auch die ganze andere Grundkonfiguration des Routers habe ich hierher:
http://www.fmi.uni-passau.de/~grafj/openbsd/3.3
Ich hoffe, jemand entdeckt einen Fehler oder weiß mir sonstirgendwie zu helfen. Ich kack ab...
Grüße aus dem schönen schönen Münsterland
Herakles