pf: ssh zum internen Interface ohne IP

[plepps]

Hi,

mal ne frage, wie erlaube ich denn einen ssh zur firewall selbst, wenn ich auf die Angabe der IP verzichten will.

dachte mir das wie folgt, aber das klappt nicht (ist mit dem fwbuilder generiert):

pass in log quick inet proto tcp from 10.100.0.0/16  to 0.0.0.0 port 22 keep state  label "RULE 2 -- ACCEPT "

problem ist, das ich 2 rechner mit carp/pfsync zu einem HA Pärchen vereint habe, ich aber nur 1 konfiguration pflegen will, sonst müsste ich für jede node eine seperate anlegen, bloss um mit ssh drauf zu kommen. die virtuelle kann ich ja auch schlecht nehmen, damit komme ich ja immer nur auf die jeweils aktive node.


DANKE
der tom

 

[Ice]

Hi plepps,

wie wäre es mit "any" ?

pass in log quick inet proto tcp from 10.100.0.0/16 to any port 22 keep state

oder sowas?

pass in log quick inet proto tcp from 10.100.0.0/16 to ($ext_if) port 22 keep state

Gruß,

Ice

 

[plepps]

Hi plepps,

pass in log quick inet proto tcp from 10.100.0.0/16 to ($ext_if) port 22 keep state

Gruß,
Ice

das wars, THX!!!!

der tom

 

[bofh]

hallo

ich dachte du meinst ssh zum internen interface weil da $ext_if steht

aber wenn du doch ips verwendet willst könntest du ja mit einer table arbeiten
wo beide ips + die virtuelle drin stehen, damit würdest du zwar pro node eine ip
zuviel erlauben, aber das sollte nicht so problematsch sein denke ich