megamimi
Active Member
Hallo,
Ich benutze FreeBSD 5.1 für mein LAN als Router. Das läuft auch alles Prima. Nur hab ich jetzt von den Fähigkeiten von ipfw bezüglich statefull filtering gelesen und wollte das ganze ausprobieren. Ich habe mir also folgendes Skript gebastelt:
Wenn ich "ipfw show" mache, sehe ich das kein einziges Paket von der check-state rule erfasst wird, auch nicht nach einigen Minuten.
Von den Clients hinter dem Router kann man zwar IP- Adressen direkt anpingen, aber mehr geht nicht. Also kein http, dns etc.
Ich hab jetzt langsam keine Idee mehr woran es liegen könnte.
Danke, mimi
Ich benutze FreeBSD 5.1 für mein LAN als Router. Das läuft auch alles Prima. Nur hab ich jetzt von den Fähigkeiten von ipfw bezüglich statefull filtering gelesen und wollte das ganze ausprobieren. Ich habe mir also folgendes Skript gebastelt:
Und soweit ich es beurteilen kann müsste auch alles gehen. Nur das tut es eben nicht...#! /bin/sh
#Mach es leise
cmd="/sbin/ipfw -q"
#Erstmal alles loeschen
${cmd} -f flush
#
# Grundsaetzliches
#
#local und im internen Netz ist alles erlaubt
${cmd} add allow all from any to any via lo0
${cmd} add allow all from any to any via rl0
${cmd} add allow all from any to any via rl1
#Die nicht lokale verwendung von 127.0.0.0/8 verbieten
${cmd} add deny all from any to 127.0.0.0/8
${cmd} add deny all from 127.0.0.0/8 to any
#gespoofte pakete verbieten
${cmd} add deny all from 10.0.0.0/8 to any in via tun0
${cmd} add deny all from 172.16.0.0/12 to any in via tun0
${cmd} add deny all from 192.168.0.0/16 to any in via tun0
#pruefen ob das paket zu einer aktiven verbindung gehoert
${cmd} add check-state
#fragmentierte pakete verbieten
${cmd} add deny all from any to any in via tun0 frag
#Alle TCP- pakete mit ACK flag die nicht zu einer verbindung gehoeren loeschen
${cmd} add deny tcp from any to any in via tun0 established
#
# Verbindungen nach aussen
#
#netbios und anderer ms- shit ist verboten nach aussen
${cmd} add deny tcp from any to any 137-139 via tun0
${cmd} add deny udp from any to any 137-139 via tun0
${cmd} add deny tcp from any to any 445 via tun0
${cmd} add deny udp from any to any 445 via tun0
${cmd} add deny tcp from any 137-139 to any via tun0
${cmd} add deny udp from any 137-139 to any via tun0
${cmd} add deny tcp from any 445 to any via tun0
${cmd} add deny udp from any 445 to any via tun0
#wir duerfen sonst alle verbindungen aufbauen
${cmd} add allow all from any to any out via tun0 setup keep-state
#
# Ankommende Verbindungen
#
#eDonkey ist erlaubt
${cmd} add allow tcp from any to any 4662 in via tun0 setup keep-state
${cmd} add allow udp from any to any 4665 in via tun0 keep-state
#alle anderen verbindungsversuche werden geblockt
${cmd} add deny tcp from any to any in via tun0 setup
#
# ICMP
#
#echo-request und redirect werden verboten
${cmd} add deny icmp from any to any in via tun0 icmptypes 5,8
# sonst ist alles icmp erlaubt
${cmd} add allow icmp from any to any via tun0
Wenn ich "ipfw show" mache, sehe ich das kein einziges Paket von der check-state rule erfasst wird, auch nicht nach einigen Minuten.
Von den Clients hinter dem Router kann man zwar IP- Adressen direkt anpingen, aber mehr geht nicht. Also kein http, dns etc.
Ich hab jetzt langsam keine Idee mehr woran es liegen könnte.
Danke, mimi