pf ignoriert Änderungen

affefreebsd

Active Member
Hi Leute,
ich mal wieder. Beim letzten mal hatte ich Fragen wie man einen Router einrichtet und 2 Subnetze verbindet (A und B) Hat super geklappt aber jetzt muss ich noch eine Firewall einrichten. A darf einiges in B aber B nur bestimmte Sachen in A. Soweit geht es

Jetzt wollte allen aus B auch (zum Test) ssh erlauben nach A (siehe #### (2)). pfctl -d, dann die Regel gecheckt ob die Erweiterung Okay ist. pfclt -e die Firewall wieder eingeschalten.
Leider nimmt er die Regel nicht an!! pfctl -v -s rules zeigt nur die erste Regel an! Was mach ich falsch? Muss ich pf irgendwie updaten? Hab auch mal die Zweite Regel entfernt und bei #### (1) das Netzwerkinterface (on $int_if) entfernt .... Geht auch nicht. Rules bleiben die gleichen :-(
Dankbar für jede hilfe ....

Gruss, ape

/etc/pf.conf
int_if = "ue0"
ext_if = "ue1"

table <bruteforce> persist # for ssh
## std block for dns
table <rfc6890> { 0.0.0.0/8 10.0.0.0/8 100.64.0.0/10 127.0.0.0/8 169.254.0.0/16 \
172.16.0.0/12 192.0.0.0/24 192.0.0.0/29 192.0.2.0/24 192.88.99.0/24 \
192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 \
240.0.0.0/4 255.255.255.255/32 }

set skip on lo0

# enable table block
block in quick on egress from <rfc6890>
block return out quick on egress to <rfc6890>

block all
#### (1)
pass in on $int_if proto tcp to port { 22 } \
keep state (max-src-conn 15, max-src-conn-rate 3/1, \
overload <bruteforce> flush global)
#### (2)
pass in on $ext_if proto tcp to port { 22 } \
keep state (max-src-conn 15, max-src-conn-rate 3/1, \
overload <bruteforce> flush global)
pass out proto { tcp udp } to port { 22 53 80 123 443}
 
Oben