pf.conf legt den verkehr lahm.

Barkeeper

Jugendrichter = Weichei
Hallo zusammen,

ich wollte nur schnell darum bitten, daß sich jemand mal mein /etc/pf.conf ansieht, da sie irgendwie den ganzen verkehr zum erliegen bringt.

Code:
### VARIABLEN ###

Ext = "tun0"            # Device an dem das Internet angeschlossen ist
Int = "rl0"      # Device an dem das interne Netz haengt
IntNet = "192.168.183.0/24"      # Adressraum des internen Netzes
RouterIP = "192.168.183.1"       # IP Adresse des Routers
Loop = "lo0"                   # Loopback Device

# Adressen die auf dem externen Device nicht geroutet werden
# (Adressbereich des internen Netzes muss man wegen der Weiterleitungen zulassen)
table <NoRoute> { 127.0.0.1/8, 172.16.0.0/12, 192.168.0.0/16, !$IntNet, 10.0.0.0/8, 255.255.255.255/32 }

# Ports die geoeffnet werden sollen
InServicesTCP = "{ ssh, http, https, auth }"
emultcp = "{ 4665, 4661, 4662 }"
emuludp = "{ 4665, 4672 }"


### OPTIONS ###

# Macht Statistiken fuer die DSL-Verbindung (pfctl -s info)
set loginterface $Ext

# Beendet inaktive Verbindungen schneller - geringerer Speicherverbrauch.
set optimization aggressive

# Fragmentierte Pakete saeubern
scrub on $Ext all fragment reassemble random-id

# Queueing
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
# !! Achtung: Der unten stehende Wert von 100Kb (Kilobit) macht natuerlich
# !! nur fuer den Standard DSL Anschluss mit 128kb upstream Sinn. Hat man
# !! eine Verbindung mit groesserer Bandbreite beim upload, dann muss
# !! dieser Wert entsprechend angepasst werden.
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
altq on $Ext priq bandwidth 100Kb queue { q_pri, q_def }
queue q_pri priority 7
queue q_def priority 1 priq(default)


### NAT & FORWARD ###

# NAT aktivieren (unter Linux als Masquerading bekannt)
# NAT aktivieren (unter Linux als Masquerading bekannt)
nat on $Ext from $IntNet to any -> $Ext static-port

# Forwarded für Emule
rdr on $Ext proto udp from any to any port $emuludp -> 192.168.183.128
rdr on $Ext proto tcp from any to any port $emultcp -> 192.168.183.128

# Active FTP - Umleitung zu unserem ftp-proxy
rdr on $Int proto tcp from !$RouterIP to !$IntNet port 21 -> 127.0.0.1 port 8021

rdr-anchor redirect


### FILTER ###

# Zum Debuggen....
#pass quick all             # Alles durchlassen

# Generelle Block Regel
block on $Ext

# Freiwillig machen wir keinen mucks ;)
block return log on $Ext

# Wir wollen kein IPv6.0
block quick inet6

# Loopback Device darf alles
pass quick on $Loop

# IP Spoofing verhindern
block in log quick on $Ext inet from <NoRoute> to any
block in log quick on $Ext inet from any to <NoRoute>

# Active FTP erlauben
pass in quick on $Ext inet proto tcp from any to any port > 49151 user proxy flags S/SAFR keep state

# Ping akzeptieren (ablehnen ist uebrigends wenig sinnvoll)
pass in quick on $Ext inet proto icmp all icmp-type 8 code 0 keep state

# Ports nach aussen oeffnen
pass in quick on $Ext inet proto tcp from any to any port $InServicesTCP flags S/SAFR keep state label ServicesTCP

# Opened für Emule
pass in quick on $Ext inet proto udp from any to any port $emuludp flags S/SAFR keep state
pass in quick on $Ext inet proto tcp from any to any port $emultcp flags S/SAFR keep state

anchor passin

# Raus darf (fast) alles
pass out quick on $Ext keep state queue (q_def,q_pri)




Vielen Dank im Voraus.
MFG. Barkeeper
 
Zuletzt bearbeitet:
Code:
pass in quick on $Ext inet proto udp from any to any port $emuludp flags S/SAFR keep state

diese Zeile auskommentieren und es klappt. ;-)
 
Barkeeper schrieb:
pass in quick on $Ext inet proto udp from any to any port $emuludp flags S/SAFR keep state
da, obwohl das so gar nicht erst angenommen werden sollte. wie taucht denn die regel in pfctl -sr auf?
 
@Flas: Die scheine ich doch nicht zu brauchen. ;-) Die ID ist hoch. hrhrhr

@TCM: Ich versteh deinen Satz leider nicht... :huth:

MFG.
Barkeeper
 
Barkeeper schrieb:
@Flas: Die scheine ich doch nicht zu brauchen. ;-) Die ID ist hoch. hrhrhr
udp wird fuer den quellenaustausch der clients untereinander verwendet afaik. es waere also besser, wenn das auch geht.

@TCM: Ich versteh deinen Satz leider nicht... :huth:
die regel ist syntaktisch nicht korrekt, da udp keine flags kennt. pfctl haette diese regel also gar nicht annehmen duerfen. darum die frage, ob diese regel ueberhaupt letztendlich im kernel auftaucht, nachdem pfctl sie geparst hat. das siehst du mit pfctl -sr. ansonsten lass einfach die flags weg.
 
am besten währe es wenn du dir mal ein paar stunden zeit nimmst und das
deutsche howto zu pf durchliest, die pf.conf dort is nur ne beispiel kopie
die im netz rumlag, es bringt nichts den pf zu benutzen wenn man ihn nicht versteht
 
Es wäre immer besser, wenn man sich für jeden Krempel, den man braucht ein paar Stunden Zeit nimmt. Aber wer hat die Zeit? Wer sich nicht beruflich mit dem Thema beschäftigt, der wird die Zeit auch nicht haben.

Wenn ich zum Beispiel mit einer juristischen Frage konfrontiert werde, dann könnte ich auch sagen, am besten wäre es, wenn du mal in die Bibliothek gehst, dir einen einschlägigen Kommentar oder ein Lehrbuch nimmst, die Aufsätze liest, auf die zuvor genannte Werke verweisen und dich selbst informierst.

Die nächste Steigerung wäre dann, daß der Arzt sagt, nimm dir ein Buch und finde selber raus, was dir fehlt.

Dann sind wir nämlich irgendwann soweit, dass jeder den ganzen Tag nur noch liest um in allen Bereichen fit zu werden.

Ich gebe zu, daß das alles sehr übertrieben ist, aber ich denke, daß das dabei rauskommt, wenn man diesen Vorschlag konsequent zu Ende denkt.

MFG.
Barkeeper
 
Barkeeper schrieb:
Es wäre immer besser, wenn man sich für jeden Krempel, den man braucht ein paar Stunden Zeit nimmt. Aber wer hat die Zeit? Wer sich nicht beruflich mit dem Thema beschäftigt, der wird die Zeit auch nicht haben.
faehrst du auto? ich zumindest musste mir zeit nehmen, um theorie und praxis des autofahrens zu lernen.

wenn du nicht autofahren willst (pf selber einrichten willst), dann fahr doch taxi (bezahl jemanden dafuer). das aequivalent waere glaube ich, dass du im moment gerade so das auto auf der strasse bewegen kannst und jetzt einen passanten fragst, ob er fuer dich einparkt :)
 
streiten lohnt da nich, besonders nich bei dem thema.

aber wenns um firewalls geht is das so ne sache, da kann man mit unwissen
grösseren schaden anrichten als man möchte, dann lieber keine firewall statt ne
"dont know what i do" firewall.

nimms dir zu herzen oder lass es einfach.
mir persönlich kanns erlichgesagt egal sein, ich wollt nur mal drauf hinweisen, und
habe mir wenigstens die zeit genommen um die mitzuteilen statt den beitrag
zu überfliegen und mir zu denken leck mich doch ich lass dich mal ins unglück
rennen und amysier mich später wenn was nachkommt :)

und nun werd ich mich meiner arbeit witmen und nicht weiter auf den tread hier
eingehen
 
Ich stimme TCM voll und ganz zu und hoffe zusätzlich, dass Dein Filesharing nicht funktioniert.

Böse, ich weiss, aber "quick and dirty" ohne einen Hauch von Ahnung ist nicht nur eine Scheissaktion und Missbrauch der Idee, die hinter OpenSource und diesem Forum steht, sondern auch Anwendung gefährlichen Halbwissens.

Letzteres ist sogar für Dich selber ganz und gar nicht gut, nein sogar verdammt scheisse.

DENN: was, wenn pötzlich ein Problem auftritt? Hättest Du einen Schimmer, wie Du es lösen solltest? Wen fragst Du dann? Ach ja, ich vergaß, das Forum...

Kauf Dir nen Hardwarerouter. Der kann auch NAT und wenn Du ehrlich bist, ist das genug Firewall für Dich. Und billig sind die Dinger mittlerweile auch. Jedenfalls billiger, als Dich selbst in die Syntax von pf reinzulesen und billiger, als den von TCM genannten Taxifahrer zu engagieren.


Herakles
 
Zuletzt bearbeitet:
TCM schrieb:
die regel ist syntaktisch nicht korrekt, da udp keine flags kennt. pfctl haette diese regel also gar nicht annehmen duerfen. darum die frage, ob diese regel ueberhaupt letztendlich im kernel auftaucht, nachdem pfctl sie geparst hat. das siehst du mit pfctl -sr. ansonsten lass einfach die flags weg.

Hier erstmal vielen Dank für den Tip. Es funktioniert inzwischen allerdings schon. Wenn es irgendwann man damit ein Problem geben sollte greife ich gerne darauf zurück.

TCM schrieb:
wenn du nicht autofahren willst (pf selber einrichten willst), dann fahr doch taxi (bezahl jemanden dafuer). das aequivalent waere glaube ich, dass du im moment gerade so das auto auf der strasse bewegen kannst und jetzt einen passanten fragst, ob er fuer dich einparkt :)

Würdest du bei einer entsprechenden Möglichkeit Taxi fahren, oder per Anhalter?
Also ich würde die zweite Variante bevorzugen. Im Gegenzug allerdings auch Anhalter mitnehmen. :) Das sind Wortspiele...

bofh schrieb:
streiten lohnt da nich, besonders nich bei dem thema.

aber wenns um firewalls geht is das so ne sache, da kann man mit unwissen
grösseren schaden anrichten als man möchte, dann lieber keine firewall statt ne
"dont know what i do" firewall.

nimms dir zu herzen oder lass es einfach.
mir persönlich kanns erlichgesagt egal sein, ich wollt nur mal drauf hinweisen, und
habe mir wenigstens die zeit genommen um die mitzuteilen statt den beitrag
zu überfliegen und mir zu denken leck mich doch ich lass dich mal ins unglück
rennen und amysier mich später wenn was nachkommt :)

und nun werd ich mich meiner arbeit witmen und nicht weiter auf den tread hier
eingehen

Da hab ich dein erstes Posting wohl falsch verstanden.
Tut mir leid.
Zu der "don't know what i do" Firewall.
Ich werde mir den Krempel nach den Klausuren mal durchlesen. Bis dahin hab ich leider zu viel Streß dafür...

Herakles schrieb:
Ich stimme TCM voll und ganz zu und hoffe zusätzlich, dass Dein Filesharing nicht funktioniert.
Das stört mich wirklich nicht, da es schon längst läuft... :D

Herakles schrieb:
Böse, ich weiss, aber "quick and dirty" ohne einen Hauch von Ahnung ist nicht nur eine Scheissaktion und Missbrauch der Idee, die hinter OpenSource und diesem Forum steht, sondern auch Anwendung gefährlichen Halbwissens.
Warum? Wenn ich irgendwo bei einer Frage etwas beisteuern kann, dann mach ich es doch auch. Insofern finde ich, ist das absolut nicht mißbräuchlich...

Herakles schrieb:
DENN: was, wenn pötzlich ein Problem auftritt? Hättest Du einen Schimmer, wie Du es lösen solltest? Wen fragst Du dann? Ach ja, ich vergaß, das Forum...
Prinzipiell einen Firewallspezialisten, der allerdings zur Zeit auf Reha ist nach einer schweren Erkrankung...

Herakles schrieb:
Kauf Dir nen Hardwarerouter. Der kann auch NAT und wenn Du ehrlich bist, ist das genug Firewall für Dich. Und billig sind die Dinger mittlerweile auch. Jedenfalls billiger, als Dich selbst in die Syntax von pf reinzulesen und billiger, als den von TCM genannten Taxifahrer zu engagieren.
Wie bereits erwähnt, den Taxifahrer hab ich normalerweise, er ist nur derzeit nicht verfügbar.
Aber ich werde in den nächsten Semesterferien mit ja immerhin 3 Monaten mal schauen, daß ich mich in pf mal reinlese. Aber kurz vor den Klausuren ist das eben leider nicht drin...

MFG.
Barkeeper
 
Zurück
Oben