PF und internes Netzwerk sichern

onegroup

Well-Known Member
Hallo,

nachdem ich PF testen will und der Squid schon transparent drauf läuft (aus dem Wiki konfiguriert). Will ich nun die Firewall auch von intern zumachen.

Da es bestimmte User hier gibt die gerne irgendwelche Programme draufpacken ohne Rechte die ziemlich viel unfug (filesharing usw.) machen, will ich eigentlich alle Ports bis auf Port 80 für Squid, smtp und imaps (auf eine externe IP) und ssh sperren.

Ich habe einiges ausprobiert.

zb.

block on $Int

pass out quick on $Int inet proto tcp from any to any port $OutServicesTCP flags S/SAFR keep state label ServicesTCP
pass out quick on $Int inet proto udp from any to any port $OutServicesUDP keep state label ServicesUDP

es geht nix mehr.

Jetzt habe ich einfach die Regel unten modifiziert

block in quick on $Int inet proto tcp from $IntNet to any port { 3306 }

Der Port wird dann geblockt. mit 1 >< 60 geht Squid auch nichtmehr.

Gibt es da eine einfachere Lösung?

So richtig habe ich unter http://openbsd.nuug.no/faq/pf/de/ nichts gefunden.

Bei bedarf poste ich gerne meine PF Konf.

Gruss

Steffen
 
versuchs mal mit

pass in on $int_if usw.
pass out on $ext_if usw.

wenn du verkehr auf dem internen interface blockst, musst du was auf dem internen interface reinlassen und auf dem externen raus... dann erzeugst du darauf die entsprechenden states und es sollte gehen (zumindest ist es hier so ;)). bei deinen regeln ist nur der verkehr firewall -> intern möglich, aber nicht intern -> firewall

hth,
marc
 
Hoi,

was spricht gegen Authpf ? Wär in Deinem Fall sicher so schlecht in Kombination zu dem bereits vorgeschlagenen nicht.

Gruß Bummibär
 
Back
Top