pf + jails = timeouts

kazcor

kazcor

Reigstreed Usre
Halloe,

ich habe mir ein jail für den Zugang per SSH erstellt und betreibe es manuell (d.h. nicht über rc.conf). Sollte eigentlich keine Probleme geben, jedoch gibt es bei laufendem pf ständig timeouts bei Verbindungen (http/ftp/ssh). Inzwischen habe ich meine pf.conf soweit dezimiert, dass eigentlich so gut wie nichts mehr drin steht:
Code: 
ext_if="sis0"
internal_net = "192.168.42.0/24"
sshd_srv = "{ 192.168.42.3 }"

set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }
set loginterface none
set optimization normal
set block-policy drop
set require-order yes
set fingerprints "/etc/pf.os"

## NAT für alle Jails
nat on $ext_if from $internal_net to any -> ($ext_if)

## SSH von aussen ins Jail
rdr pass on $ext_if inet proto tcp from any to any port 27022 -> $sshd_srv port 28022

## alles ist erlaubt
pass in all
pass out all

Die Jail wird per Hand gestartet und vorher eine Adresse zugewiesen:
Code: 
ifconfig sis0 192.168.42.3 netmask 255.255.255.255 alias

Voher/nachher sieht das dann wie folgt aus. Vorher (ifconfig/route):
Code: 
sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
    options=8<VLAN_MTU>
    inet 192.168.42.2 netmask 0xffffff00 broadcast 192.168.42.255
    ether 00:0a:e6:d5:5f:be
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
    inet 127.0.0.1 netmask 0xff000000
pfsync0: flags=0<> mtu 2020
    syncpeer: 224.0.0.240 maxupd: 128

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.42.1       UGS         0    39097   sis0
127.0.0.1          127.0.0.1          UH          0      125    lo0
192.168.42         link#1             UC          0        0   sis0
192.168.42.1       00:14:7f:25:ca:76  UHLW        2     1039   sis0   1193

und nachher:
Code: 
sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
    options=8<VLAN_MTU>
    inet 192.168.42.2 netmask 0xffffff00 broadcast 192.168.42.255
    inet 192.168.42.3 netmask 0xffffffff broadcast 192.168.42.3
    ether 00:0a:e6:d5:5f:be
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
    inet 127.0.0.1 netmask 0xff000000
pfsync0: flags=0<> mtu 2020
    syncpeer: 224.0.0.240 maxupd: 128

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.42.1       UGS         0    39097   sis0
127.0.0.1          127.0.0.1          UH          0      125    lo0
192.168.42         link#1             UC          0        0   sis0
192.168.42.1       00:14:7f:25:ca:76  UHLW        2     1039   sis0   1180
192.168.42.3/32    link#1             UC          0        0   sis0

Wenn ich pf abschalte läuft das ganze flüssig. Woran koennte es scheitern?

baba,
kaz
 
glaube ich habs gefunden ....

Code: 
nat on $ext_if from $internal_net to any -> ($ext_if)
sollte wohl eher sein:
Code: 
nat on $ext_if from $internal_net to any -> 192.168.42.2

sonst nimmt er scheinbar wahlweise eine der dem if zugeordneten ips?! :eek:
 
Jo, du musst eine klare IP setzen, sonst scheitert die Autoerkennung -> Ärger
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben