Hallo Gemeinde!
Ich habe da eben etwas gelesen, was mich hinsichtlich meiner pf.conf ins grübeln bringt:
Die Firewall ist _natürlich_ eine OpenBSD-Box mit PF, Privoxy, Squid und Tor. Im Netz hängen aber bald auch zwei Win*-Kisten, davon ein Laptop. Letzterer wird neuerdings vom Filius auch schon mal zu einer Lan-Party mitgenommen. Jetzt nehmen wir mal an, daß da plötzlich ein bislang unbekanntes klitzekleines Programmchen drauf ist, daß von sich aus unbedingt mit einer bestimmten Internet-Adresse Kontakt aufnehmen möchte. Wie würde ich das den verhindern???
Entsprechend der PF-FAQ-Beispielkonfiguration der pf.conf habe ich meine Regeln aufgebaut. Dort heißt es:
Wie würdet ihr in diesem Fall filtern? Über eine PF-Table "BadGuys"? Squid? Würdet ihr eine "Whitelist" in Erwägung ziehen? (Nutze Squid bislang ausschließlich als Proxy ohne Filterregeln, da ich bislang exklusiv mit OpenBSD an der Leitung hänge.)
Gruß,
SteWo
Ich habe da eben etwas gelesen, was mich hinsichtlich meiner pf.conf ins grübeln bringt:
Die Firewall ist _natürlich_ eine OpenBSD-Box mit PF, Privoxy, Squid und Tor. Im Netz hängen aber bald auch zwei Win*-Kisten, davon ein Laptop. Letzterer wird neuerdings vom Filius auch schon mal zu einer Lan-Party mitgenommen. Jetzt nehmen wir mal an, daß da plötzlich ein bislang unbekanntes klitzekleines Programmchen drauf ist, daß von sich aus unbedingt mit einer bestimmten Internet-Adresse Kontakt aufnehmen möchte. Wie würde ich das den verhindern???
Entsprechend der PF-FAQ-Beispielkonfiguration der pf.conf habe ich meine Regeln aufgebaut. Dort heißt es:
Wenn ich dies richtig verstanden habe, würde doch in diesem Fall ein einseitiger Informationsfluß "outbound" durch PF nicht behindert werden.It can simplify your life if you chose to filter traffic in one direction, rather than trying to keep it straight when filtering some things in, and some things out. In our case, we'll opt to filter the inbound traffic, but once the traffic is permitted into an interface, we won't try to obstruct it leaving, so we will do the following:
pass out keep state
Wie würdet ihr in diesem Fall filtern? Über eine PF-Table "BadGuys"? Squid? Würdet ihr eine "Whitelist" in Erwägung ziehen? (Nutze Squid bislang ausschließlich als Proxy ohne Filterregeln, da ich bislang exklusiv mit OpenBSD an der Leitung hänge.)
Gruß,
SteWo