Hallo!
Is schon sehr spät vielleicht hab ich irgendwas übersehen oder so aber pf will hier einfach nich. Eigentlich hab ich viel mehr regeln, aber es funktioniert bei diesen schon nich. Ich möchte nich alles Eingehende blocken da mehrere alias auf ext_if sind sondern nur eine spezielle externe IP.
pf.conf
Als Ausgabe von pfctl -v kommt das raus:
So also die Webseite wird nicht angezeigt. Wenn PF aus is gehts natürlich. Wenn ich flags S/SA synproxy state weglasse gehts ABER super langsam. Da dauerts so 5-10 sek bevor die Seite geladen ist. Ohne PF gehts ganz schnell.
Was ist hier falsch?
Hab net.inet.ip.forwarding=1 für NAT und ein OpenVPN tun0. Forwarding auf 0 und OpenVPN aus hat auch nichts gebracht.
Mit FTP geht die Verbindung wenn ich die flags S/SA synproxy state rausnehme. (Ohne PASV natürlich, is ja nichts anderes offen.)
Danke für die Hilfe!
Is schon sehr spät vielleicht hab ich irgendwas übersehen oder so aber pf will hier einfach nich. Eigentlich hab ich viel mehr regeln, aber es funktioniert bei diesen schon nich. Ich möchte nich alles Eingehende blocken da mehrere alias auf ext_if sind sondern nur eine spezielle externe IP.
pf.conf
Code:
ext_if = "re0"
www_ex = "1.2.3.4"
scrub on $ext_if all
# block all connections to www except port 80
block in on $ext_if from any to $www_ex
pass in quick on $ext_if proto tcp from any to $www_ex port 80 flags S/SA synproxy state
Als Ausgabe von pfctl -v kommt das raus:
Code:
ext_if = "re0"
www_ex = "1.2.3.4"
scrub on re0 all fragment reassemble
block drop in on re0 inet from any to 1.2.3.4
pass in quick on re0 inet proto tcp from any to 1.2.3.4 port = http flags S/SA synproxy state
So also die Webseite wird nicht angezeigt. Wenn PF aus is gehts natürlich. Wenn ich flags S/SA synproxy state weglasse gehts ABER super langsam. Da dauerts so 5-10 sek bevor die Seite geladen ist. Ohne PF gehts ganz schnell.
Was ist hier falsch?
Hab net.inet.ip.forwarding=1 für NAT und ein OpenVPN tun0. Forwarding auf 0 und OpenVPN aus hat auch nichts gebracht.
Mit FTP geht die Verbindung wenn ich die flags S/SA synproxy state rausnehme. (Ohne PASV natürlich, is ja nichts anderes offen.)
Danke für die Hilfe!