PF mit lo0 Jails und Outbound blocking

[bookbinder]

Hallo,

ich krieg's leider nicht raus.

1. Alle Jails auf FreeBSD Host gehen über lo0 (bridge) und PF sorgt per redirect für die Portfreigabe der Jails nach außen. Soweit alles klar.

2. Ich möchte jetzt die SMTP Ports für alle Jails --außer einer-- nach außen blocken; sagen wir Port 25.

3. Mein Versuch:

set skip on lo
(...)
nat on $ext_if from <jails> to any -> ($ext_if:0)

block all
pass out inet proto tcp from $MAILJAIL to any port 25 keep state

funktioniert nicht. Alles wird geblockt, auch von $MAILJAIL.

Nur

set skip on lo
(...)
nat on $ext_if from <jails> to any -> ($ext_if:0)

block all
pass out inet proto tcp from any to any port 25

funktioniert. Dann aber auch von allen Jails.

Liegt es daran, dass das set skip on lo gar keine Verarbeitung auf Basis von IP Adressen auf Loopback mehr zuläßt? Wenn dem so ist, wie müssten dann die Regeln aussehen?

 

[jmt]

Wenn Du lo0 skipst, dann gehen keine Pakete aus dem lo0 über die Firewall. PF sieht also nur die genatteten Pakete.
Lösche einfach die Zeile "set skip on lo"

 

[jmt]

Ach ja, wenn Du nicht lo0 für die Jails verwendest, sondern ein neues Loopbackdevice erzeugst, dann kannst Du auch einfach set skip on lo0 setzen. Damit erreichst Du auch, dass der Loopbacktrafic des Host nicht durch die Firewall muss. Dein Jail-Trafik geht dann aber durch die PF.