Hallo,
nach längerem stillen mitlesen, habe ich nun doch auch ein paar Fragen zu pf.
Auf dem hier angesprochenen System läuft OpenBSD 3.7 ( vor paar Monaten schon installiert ) und da ich jetzt etwas Zeit hatte wollte ich die Filterregeln für pf doch mal ein wenig anpassen und modifizieren. Ziel soll es sein z.b. P2P, ICQ usw. generell zu verbieten, und nur das nötigste durchzulassen. Funktionieren tut bis jetzt Squid als transp. Proxy / https / ssh / FTP-Proxy.
Die Ports waren soweit auch alle Dicht, bis ich dann zu FTP gekommen bin. Das mit dem FTP-Proxy funktioniert zwar soweit, allerdings tauchte hier mein erstes "Problem" auf, und zwar folgendes:
- durch die Regeln für FTP musste ich alle Ports > 1023 öffnen, was natürlich auch die Ports für P2P und ICQ öffnet. Hab ich da was übersehen oder muss ich nach dem öffnen der Ports für FTP, die Ports für P2P, ICQ usw. gezielt wieder dicht machen ?? Lieber wäre mir natürlich, alles dicht, und gezielt öffnen.
Und eine allgemeine Frage hätte ich auch noch, und zwar macht es Sinn auf beiden Interfaces ( intern / extern ) zu filtern oder sollte man event. auf dem internen Interface für das interne Netzwerk alles zulassen ??
Hier mal ein Auszug der betreffenden Regeln:
Hoffe mein Problem ist einigermassen verständlich
gruss und danke
nach längerem stillen mitlesen, habe ich nun doch auch ein paar Fragen zu pf.
Auf dem hier angesprochenen System läuft OpenBSD 3.7 ( vor paar Monaten schon installiert ) und da ich jetzt etwas Zeit hatte wollte ich die Filterregeln für pf doch mal ein wenig anpassen und modifizieren. Ziel soll es sein z.b. P2P, ICQ usw. generell zu verbieten, und nur das nötigste durchzulassen. Funktionieren tut bis jetzt Squid als transp. Proxy / https / ssh / FTP-Proxy.
Die Ports waren soweit auch alle Dicht, bis ich dann zu FTP gekommen bin. Das mit dem FTP-Proxy funktioniert zwar soweit, allerdings tauchte hier mein erstes "Problem" auf, und zwar folgendes:
- durch die Regeln für FTP musste ich alle Ports > 1023 öffnen, was natürlich auch die Ports für P2P und ICQ öffnet. Hab ich da was übersehen oder muss ich nach dem öffnen der Ports für FTP, die Ports für P2P, ICQ usw. gezielt wieder dicht machen ?? Lieber wäre mir natürlich, alles dicht, und gezielt öffnen.
Und eine allgemeine Frage hätte ich auch noch, und zwar macht es Sinn auf beiden Interfaces ( intern / extern ) zu filtern oder sollte man event. auf dem internen Interface für das interne Netzwerk alles zulassen ??
Hier mal ein Auszug der betreffenden Regeln:
Code:
nat on $ext_if from $IntNet to any -> $ext_if
rdr on $int_if proto tcp from $IntNet to any port ftp -> 127.0.0.1 port 8021
rdr on $int_if proto tcp from $IntNet to any port www -> 127.0.0.1 port 3128
## Filter ##
## DEFAULT POLICY ( alles verboten )
block log all
## Loopback Device darf alles
pass quick on $Loop
pass in on $int_if inet proto tcp from $IntNet to any port $service_in modulate state
pass in on $int_if inet proto tcp from $IntNet to $Loop port 3128 modulate state
pass in on $int_if inet proto tcp from $IntNet to $Loop port 8021 modulate state
pass in on $int_if inet proto tcp from $IntNet to any port > 1023 flags S/SAFR modulate state <-- für ftp
pass out on $ext_if inet proto tcp from $ext_if to any port $service_out modulate state
pass out on $ext_if inet proto tcp from $ext_if to any port > 1023 flags S/SAFR modulate state <-- für ftpHoffe mein Problem ist einigermassen verständlich
gruss und danke
