J
juedan
Guest
Guten Abend,
zuerst möchte ich mich kurz vorstellen: mein Name ist Jürgen und ich arbeite mit FreeBSD seit ca. 3 Jahren, so richtig aber erst seit 1 Jahr.
Für mein Heimnetz habe ich mir einen kleinen Server aufgesetzt, der auch prima funktionert (postfix-mail, samba, http, ftp).
Nun wollte ich - nachdem ich mir endlich DSL angeschafft hatte - für Freunde einen WWW und anonymous-FTP aufsetzen, was auch kein Problem war. Dazu mußte ich aber die IPFW-rules anpassen.
Aber keiner bekommt Zugriff auf meinen Rechner, wo liegt der Denkfehler
#!/bin/sh
#
# zum Testen:
# logamount 10000: maximal 10000 Zugriffe mitloggen
# log-File: /var/log/security
#
#
fwcmd="/sbin/ipfw"
#
netfxp0="192.168.1.1"
maskfxp0="255.255.255.0"
# alle Regeln loeschen
${fwcmd} -q flush
# alle Zugriffe auf lo0 vom Intranet erlauben
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny log logamount 10000 all from any to 127.0.0.0/8
# alles was im Intranet ueber fxp0-Netzwerkkarte laeuft
${fwcmd} add pass all from 192.168.1.0/24 to 192.168.1.0/24 via fxp0
# FTP-Dienst
${fwcmd} add pass log logamount 10000 udp from any 21 to any
# SSH-Dienst
${fwcmd} add pass log logamount 10000 tcp from any 22 to any
# HTTP-Dienst
${fwcmd} add pass log logamount 10000 tcp from any 80 to any
# ICMP-Anfragen loggen
${fwcmd} add allow log logamount 10000 icmp from any to any icmptypes 0,3,5,8,11
# dynamische Regeln
${fwcmd} add check-state
${fwcmd} add deny log logamount 10000 tcp from any to any via ${netfxp0} established
${fwcmd} add pass tcp from any to any out xmit ${netfxp0} setup keep-state
${fwcmd} add pass tcp from any to any out xmit tun0 setup keep-state
${fwcmd} add pass udp from any to any out xmit ${netfxp0} keep-state
${fwcmd} add pass udp from any to any out xmit tun0 keep-state
Vielen Dank für die Hilfe.
Gruß
Jürgen
zuerst möchte ich mich kurz vorstellen: mein Name ist Jürgen und ich arbeite mit FreeBSD seit ca. 3 Jahren, so richtig aber erst seit 1 Jahr.
Für mein Heimnetz habe ich mir einen kleinen Server aufgesetzt, der auch prima funktionert (postfix-mail, samba, http, ftp).
Nun wollte ich - nachdem ich mir endlich DSL angeschafft hatte - für Freunde einen WWW und anonymous-FTP aufsetzen, was auch kein Problem war. Dazu mußte ich aber die IPFW-rules anpassen.
Aber keiner bekommt Zugriff auf meinen Rechner, wo liegt der Denkfehler
#!/bin/sh
#
# zum Testen:
# logamount 10000: maximal 10000 Zugriffe mitloggen
# log-File: /var/log/security
#
#
fwcmd="/sbin/ipfw"
#
netfxp0="192.168.1.1"
maskfxp0="255.255.255.0"
# alle Regeln loeschen
${fwcmd} -q flush
# alle Zugriffe auf lo0 vom Intranet erlauben
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny log logamount 10000 all from any to 127.0.0.0/8
# alles was im Intranet ueber fxp0-Netzwerkkarte laeuft
${fwcmd} add pass all from 192.168.1.0/24 to 192.168.1.0/24 via fxp0
# FTP-Dienst
${fwcmd} add pass log logamount 10000 udp from any 21 to any
# SSH-Dienst
${fwcmd} add pass log logamount 10000 tcp from any 22 to any
# HTTP-Dienst
${fwcmd} add pass log logamount 10000 tcp from any 80 to any
# ICMP-Anfragen loggen
${fwcmd} add allow log logamount 10000 icmp from any to any icmptypes 0,3,5,8,11
# dynamische Regeln
${fwcmd} add check-state
${fwcmd} add deny log logamount 10000 tcp from any to any via ${netfxp0} established
${fwcmd} add pass tcp from any to any out xmit ${netfxp0} setup keep-state
${fwcmd} add pass tcp from any to any out xmit tun0 setup keep-state
${fwcmd} add pass udp from any to any out xmit ${netfxp0} keep-state
${fwcmd} add pass udp from any to any out xmit tun0 keep-state
Vielen Dank für die Hilfe.
Gruß
Jürgen
