verständnis pf

Herakles

Profifragensteller
Hi!

Nur eine kurze Frage, die gerade beim Einrichten meiner pf-Firewall aufkam:

wenn ich bestimmte Pakete auf einem Router mit ext_if und int_if durchlassen will, dann müssen diese Pakete doch Regeln für das Externe Interface bekommen und genauso auch für das interne, oder? Hab ich das richtig verstanden?

Es würde mir also beispielsweise nichts bringen, wenn ich einen bestimmten Port auf dem externen Device öffne, diesen dann aber auf dem internen geschlossen lasse, oder?

Hoffe, ich hab das verständlich rübergebracht, was ich hier sagen wollte...

Danke, Herakles
 
Herakles said:
Hi!

Nur eine kurze Frage, die gerade beim Einrichten meiner pf-Firewall aufkam:

wenn ich bestimmte Pakete auf einem Router mit ext_if und int_if durchlassen will, dann müssen diese Pakete doch Regeln für das Externe Interface bekommen und genauso auch für das interne, oder? Hab ich das richtig verstanden?

Es würde mir also beispielsweise nichts bringen, wenn ich einen bestimmten Port auf dem externen Device öffne, diesen dann aber auf dem internen geschlossen lasse, oder?

Hoffe, ich hab das verständlich rübergebracht, was ich hier sagen wollte...

Danke, Herakles

Wenn du eine bridge fährst, dann brauchst du nur externes Interface zu filtern.

Siehe in die FAQs rein, dort steht alles schön beschrieben.
 
Hi,

das hilt generell auch fuer einen Router.
relevante Regeln auf ext_if und "pass on int_if keep state" -> works..

Seit 3.5 sind die states aber "global" (floating), d.h., wenn Du auf dem externen
Interface pass rules mit 'keep state' hast, dann werden packets auf dem
int_if auch durchgelassen. (old behaviour per 'set policy if-bound' (oder per rule).

HTH,
 
Hab ich das richtig verstanden

...ja, aber es ist noch schlimmer.
Du hast prinzipiell vier Möglichkeiten zu blocken.
block in & out am ext_if
block in & out am int_if
 
Back
Top