PF - Verschiedene Antworten auf Pings

[head]

Hallo!

Ich beschäftige mich gerade, wer hätte es gedacht, mit dem pf unter openbsd 3.5 und will eigentlich nur das meine box auf normale pings abnormal antwortet =).

Sprich wenn mich wer pingt würde er, wenn ich es zulasse, ein ganz normales echo reply von meiner box bekommen.
Ich hätte nun gerne, dass er z.B. mit einem icmp-type 3 code 4 (fragmentation needed and DF set) antwortet, ich wüsste somit weiterhin, dass die Box brav rennt und die pf regeln aktiv sind und andere leute können damit vielleicht weniger anfangen.

Weiß vielleicht wer von euch mit welchen Regeln ich das verwirklichen kann?

Tia
mfG head

 

[CRAZyBUg]

man pf.conf

 

[head]

Danke für deine Antwort, aber die man page habe ich schon angeschaut und trotzdem bin ich daraus nicht schlau geworden...

Wenn du weißt wie es funktioniert dann wäre ich dir sehr verbunden wenn du mir die regel postest.

Danke
mfG head

 

[Maledictus]

Mal nebenbei:
Security through Obscurity ist nicht im Sinne von OpenBSD.

Ich hab keine Angst vor einem Ping :P

 

[*Sheep]

...es ist ganz einfach Du erstellt eine Regel, welche icmp-type 3 code 4 zu dem externen interface erlaubt. Und zur Sicherheit eine Regel die andere icmptypen-Pakete ins Nirvana schickt.

 

[*Sheep]

Wenn du weißt wie es funktioniert dann wäre ich dir sehr verbunden wenn du mir die regel postest.

Übrigens gibt es Leute die werden bezahlt, wenn sie bei anderen die Firewallregeln richten...

 

[head]

Hallo,
ich wollte mich nur noch mal für eure wertvollen Posts bedanken!

Übrigens gibt es Leute die werden bezahlt, wenn sie bei anderen die Firewallregeln richten...

Echt wahr?
Willst du Geld für eine brauchbare Antwort?
PM mir deine Kontonummer und BLZ wenn du mir dann die Zeile geschrieben hast überweise ich dir gerne 2 ¤.
Ich dachte zwar es gibt auch Foren wo man vollkommen gratis Antworten auf Fragen bekommt, aber da liege ich scheinbar falsch.
Mein Fehler!

Security through Obscurity ist nicht im Sinne von OpenBSD.

... es ist auch nicht in meinem Sinne und meine Angst vor Pings hält sich auch in Grenzen.

Wenn ihr eh wisst wie die Regel lautet, wäre meine Frage, auch wenn sie eures Erachtens lächerlich ist, schnell beantwortet gewesen.

Eure Sprüche fand ich schon sehr amüsant, aber richtig weitergeholfen haben sie mir nicht.

Danke, dass ihr euch trotzdem die Zeit genommen habt mir zu antworten!

MfG head

 

[kith]

# fuer echoreq
block return-icmp(4) in on $if inet proto icmp all icmp-type 8 code 0

keine ahnung ob dir das weiterhilft. der type wird wohl per default 3 sein. probiers einfach mal aus. aber prinzipiell haben die anderen user recht, am echoreq rumbiegen ist auch imho nicht wirklich sinnvoll.

 

[CRAZyBUg]

wenn ich jedesmal nen euro kriegen wuerde wenn jemand irgendeine firewall regel haben will weil er durch die manuals selbst ned durchblickt, wäre ich inhaber der domain bsdforen.de und wuerd dem forum nen budget von 10tsd euroz schenken....

aber da ich das ned krieg bin ich ned millionär... *g*

 

[XPectIT]

...wäre ich inhaber der domain bsdforen.de und wuerd dem forum nen budget von 10tsd euroz schenken....

aber da ich das ned krieg bin ich ned millionär... *g*

Hm, so verdient sj sein Geld.

 

[kith]

bitte bleibt on-topic

 

[EyeDacor]

bitte bleibt on-topic

dann hätte ich mal eine frage, und zwar was das bringen soll? ich meine die aussage "andere leute können damit weniger anfangen" oder so gelesen zu haben... und? ich glaube die, die du als "andere leute" bezeichnest, wissen nichtmal, was openbsd ist... und die, die es wissen, pingen nichtmehr wild in der gegend rum...

 

[*Sheep]

Wer die Beispiele der pf.conf nicht liest, muß für die Antworten bezahlen =]

 

[EyeDacor]

pffff.... <= was ein wortwitz...

 

[Kaeptn]

wenn ich jedesmal nen euro kriegen wuerde wenn jemand irgendeine firewall regel haben will weil er durch die manuals selbst ned durchblickt, wäre ich inhaber der domain bsdforen.de und wuerd dem forum nen budget von 10tsd euroz schenken....

aber da ich das ned krieg bin ich ned millionär... *g*

Aha, der Meister hat gesprochen. Selbst wenn die Antworten hier nicht nahelegen würden daß Ihr die Regel nicht wisst, falls jemand sein Wissen nicht weitergeben will kann er ja einfach ruhig sein.
Antworten wie "man pf" beziehen sich nicht auf die Frage und sind überflüssig.

-Kaeptn

 

[CRAZyBUg]

Aha, der Meister hat gesprochen. Selbst wenn die Antworten hier nicht nahelegen würden daß Ihr die Regel nicht wisst, falls jemand sein Wissen nicht weitergeben will kann er ja einfach ruhig sein.
Antworten wie "man pf" beziehen sich nicht auf die Frage und sind überflüssig.

-Kaeptn

O_o Meister? - Gerne, verneig dich Sklave!

Solche Posts sind genauso überflüssig wie die, die du - falsch - zitiert hast.

 

[*Sheep]

Antworten wie "man pf" beziehen sich nicht auf die Frage und sind überflüssig.

In diesem Fall steht ein ganzer Abschnitt dazu in der man von pf.conf. Aus meiner Sicht war der Hinweis von CRAZyBUg nicht überflüßig weil ausserdem eine Beispielkonfiguration ebenfall zu finden ist. Und sich die gewollten icmp-typen rauszusuchen und die Regel möglicherweise anzupassen ist nicht zu viel verlangt. ---->

 

[kith]

zum 2. mal - bitte bleibt on-topic.