PF: IP-Adresse ausschliessen

M

mrspliffy

Member
hello zusammen.

besteht im PF die Möglichkeit, eine einzelne IP-Adresse
aus der Variable ext_net auszuschliessen?

vom Provider habe ich einen IP-Range mit 5 Adressen (+ Netzwerk, Gateway u. Broadcast):
xxx.xxx.xx.104/29

im pf.config ist dieser Range an die Variable ext_net gebunden.
ich möchte nun eine einzelne Adresse von diesem Range ausschliessen,
sodass der Firewall diese quasi "freigibt" und auch nicht mehr darauf antwortet.


danke für die hilfe,
gruess mrspliffy
 
Ja, das geht.

Du schreibst in die pf.conf bei der Definition der Variable ext_net einfach ein Rufzeichen mit rein

Code: 
!192.168.0.1

zum Beispiel.

Ich habe ein table mit Adressen, die nicht geroutet werden sollen, und bei mir sieht das dann so aus:

Code: 
table <NoRoute> const { 127.0.0.1/8, 192.168.0.0/16, !$int_net, 10.0.0.0/8, 255.
255.255.255/32 }

Wie Du siehst, habe ich vor die Variable int_net ein Rufzeichen geschrieben, was soviel heisst wie alle Adressen die auf meine Variable int_net passen, werden von dem table ausgeschlossen.

Du machst das ganze dann einfach mit der entsprechenden IP und es sollte in Deinen Regeln funktionieren.


Hoffe, habe das erklärbar geschildert.


Herakles


[edit]
Ups, da war aber einer schneller und VIIEEEELL kürzer...
[/edit]
 
@herakles
auch dir danke ;-)

unix ist halt einfach schon logischer als das elende fenster-zeugs,
bin mich drum den ganzen tag mit AD am rumnerven -> hirn ist noch im fenster-modus :-))


cheers, mrspliffy
 
erstmal danke für die hilfe.

habe die pf.conf angepasst, dh. die IP aus dem ext_net rausgenommen und auch bei der table no_route eingetragen.

danach pf disabled, die neue conf eingelesen und wieder gestartet.

jetzt gibt mir aber der firewall immernoch Antwort wenn ich diese IP anpinge. ich bräuchte aber diese IP für eine andere Kiste, die direkt am Router (vom Provider) angeschlossen ist und direkt ins Netz gehen soll.
 
ha! geschafft!

musste noch einen hosts eintrag vom entsprechenden interface entfernen und den firewall neu starten.

vermutlich war die IP noch in der ARP-Tabelle eingetragen.

Jetzt funzt wie ichs will.


Thänx und nice Weekend,
Gruss, mrspliffy
 
ext_net = "{x.x.x/x, !<die böse ip> }"

Wenn ich das hier
http://www.openbsd.org/faq/pf/de/macros.html#lists
richtig lese, dann entspricht das doch genau der ausgesprochenen Warnung ?!?

"Hüte dich vor Konstrukten wie der folgenden ,doppelt negierten Liste', welche einen typischen Fehler darstellen:

pass in on fxp0 from { 10.0.0.0/8, !10.1.2.3 }

Während die gemeinte Idee dahinter vielleicht ,jede Adresse innerhalb 10.0.0.0/8, mit Ausnahme von 10.1.2.3' war, wird die Regel wie folgt erweitert:

pass in on fxp0 from 10.0.0.0/8
pass in on fxp0 from !10.1.2.3

was auf jede mögliche Adresse zutrifft."

... oder habe ich das blos nicht verstanden ?

Gruß Tschaj
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben