pf - komme mit pf nicht ins Internet

Henry

Active Member
Hallo !
Ich komme mit pf unter FreeBSD 6 einfach nicht ins Internet. Alle bisherigen Versuche funkionieren bei mir nicht. Alleine komm ich nicht mehr weiter. Ich habe 2 Pc`s an einem Netgear Fr114P DSL- Firewallrouter. Der soll auch bleiben, da ich auch mit WinXP ins Netz gehe. Wenn ich mit dem Browser eine Adresse eingebe bekomme ich die Meldung: Adresse kann nicht gefunden werden. Meine rc.conf und pf.conf hänge ich mal dran. Besten Dank im Voraus !
 

Attachments

Funktioniert es denn ohne pf? Davon abgesehen funktioniert das hier beim besten Willen nicht:
Code:
ifconfig_bfe0="inet 192.168.000.3  netmask 255.255.255.0"
ifconfig_sis0="inet 192.168.000.6  netmask 255.255.255.0"
Ein Rechner darf nicht mehr als ein Interface im gleichen Subnetz haben.

Außerdem frage ich mich, warum du die Kiste als Gateway eingerichtet hast, wenn du ohnehin über einen Hardware-Router gehen willst. Vielleicht wäre es hilfreich, wenn du einen kleinen Plan deines Netzwerks erstellen würdest, damit wir sehen können, was du vorhast.
 
Hi,

evtl. liegt es daran, dass deine beiden Netzwerkkarten im selben Subnet sind.

Gruß, I.MC
 
Hallo !
Zunächstmal vielen Dank für die schnellen Antworten. Anbei mein Netzwerkplan, so wie ich ihn mir vorstelle. Ist nichts besonderes. Ich brauche keine Routerfunktion oder sonstiges. Ich will nur meine zwei Kisten mit pf absichern. Gruß
 

Attachments

Nimm zuerst ifconfig_sis0 und gateway_enable aus deiner rc.conf. Du brauchst diese Einträge nicht, im Gegenteil, sie schaden sogar.

Dann würde ich dir dingend raten, pf zu deaktivieren. Du hast anscheinend nicht wirklich verstanden, wie man Pakete filtert. Das ist aber eine ganz grundlegende Voraussetzung, ohne die ein Paketfilter überhaupt keinen Sinn macht. Es bringt dir wirklich überhaupt nichts, wenn du dir von irgendwoher einfach eine Config runterlädst und dich dann in falscher Sicherheit wiegst. Ziemlich kontraproduktiv ist in deinem Fall auch noch, daß diese Config überhaupt nicht für deinen Einsatzzweck geeignet ist!

Zum Beispiel machst du ein NAT zwischen sis0 und bfe0 - völliger Unsinn. Dann blockst du alle Pakete, die von einem 192.168.0.0/16-Netz hereinkommen - und damit natürlich auch von deinem Router. Da wundert es nicht mehr, daß dein Browser keine Antworten aus dem Internet bekommt. Du hast die richtige Config für den falschen Einsatzzweck.

Also: Wenn du unbedingt pf verwenden willst, dann lies dich bitte ganz in Ruhe in die Thematik ein. Solange solltest du auch ohne pf gut gerüstet sein, da durch deinen Hardware-Router wenigstens schon mal ein grundsätzlicher Schutz vor den bösen Jungs aus dem Internet gegeben ist.
 
Danke für die ausführliche Info. Du hast mit deiner Analyse vollkommen Recht. Ich werde deinem Rat folgen und mich dann später nochmal melden.
Gruß Henry :)
 
Last edited:
Back
Top