Berufspenner
20.06.03, 21:26
Hi@all
Ich hoffe, dass mein Anliegen hier rein passt.
Ich würde gerne meinem FreeBSD Server ne Firewall verpassen. Also statt iptables ist hier ipfw gefragt. Da ich aber weder bei dem einen noch bei dem andern wirklich fit bin brauche ich Hilfe. Hier mal mein Ansatz:
# xl = lokale NIC
# tun0 = ppp (pppoe) Device
# NATd erlauben
ipfw add 10 divert natd all from any to any via tun0
# Alle lokalen Verbindungen erlauben
ipfw add allow tcp from me to any out via lo0 setup keep-state
ipfw add deny tcp from me to any out via lo0
ipfw add allow ip from me to any out via lo0 keep-state
# Alle Daten durch localhost und der NIC erlauben
ipfw add allow ip from any to any via lo0
# Alles über dieses Interface wird erlaubt
ipfw add allow ip from any to any via xl0
# Alle Verbindungen welche von hier initialisiert werden erlauben
ipfw add allow tcp from any to any out xmit tun0 setup
# Verbindung offen halten, wenn offen
ipfw add allow tcp from any to any via tun0 established
# Bestimmte ICMP Pakete erlauben (z.B. fuer Ping)
ipfw add allow icmp from any to any icmptype 3,4
ipfw add allow icmp from any to any out icmptype 8
ipfw add allow icmp from any to any in icmptype 0
# allow https from net
# von aussen kann Port 443,80,25,110,143 erreicht werden
ipfw add pass tcp from any to tun0 443
ipfw add allow tcp from any to tun0 80
ipfw add allow tcp from any to tun0 25
ipfw add allow tcp from any to tun0 110
ipfw add allow tcp from any to tun0 143
# Zum Schluss alles andere verbieten
ipfw add 65534 allow ip from any to anyIm Grunde genommen möchte ich folgendes:
- Alle Anfragen vom LAN ins Internet durchlassen bzw. evtl. nur bestimmte Ports zulassen.
- Alle Dienste auf dem Server vom LAN erreichbar lassen
- Port 21,(evtl. 22),25,80,110,143,443 von außen zulassen
- Donkey Ports an internen Rechner forwarden (natd)
- und alles andere von außen geblockt werden.
So, ich denk das ist es erstmal.
Cu
André
Ich hoffe, dass mein Anliegen hier rein passt.
Ich würde gerne meinem FreeBSD Server ne Firewall verpassen. Also statt iptables ist hier ipfw gefragt. Da ich aber weder bei dem einen noch bei dem andern wirklich fit bin brauche ich Hilfe. Hier mal mein Ansatz:
# xl = lokale NIC
# tun0 = ppp (pppoe) Device
# NATd erlauben
ipfw add 10 divert natd all from any to any via tun0
# Alle lokalen Verbindungen erlauben
ipfw add allow tcp from me to any out via lo0 setup keep-state
ipfw add deny tcp from me to any out via lo0
ipfw add allow ip from me to any out via lo0 keep-state
# Alle Daten durch localhost und der NIC erlauben
ipfw add allow ip from any to any via lo0
# Alles über dieses Interface wird erlaubt
ipfw add allow ip from any to any via xl0
# Alle Verbindungen welche von hier initialisiert werden erlauben
ipfw add allow tcp from any to any out xmit tun0 setup
# Verbindung offen halten, wenn offen
ipfw add allow tcp from any to any via tun0 established
# Bestimmte ICMP Pakete erlauben (z.B. fuer Ping)
ipfw add allow icmp from any to any icmptype 3,4
ipfw add allow icmp from any to any out icmptype 8
ipfw add allow icmp from any to any in icmptype 0
# allow https from net
# von aussen kann Port 443,80,25,110,143 erreicht werden
ipfw add pass tcp from any to tun0 443
ipfw add allow tcp from any to tun0 80
ipfw add allow tcp from any to tun0 25
ipfw add allow tcp from any to tun0 110
ipfw add allow tcp from any to tun0 143
# Zum Schluss alles andere verbieten
ipfw add 65534 allow ip from any to anyIm Grunde genommen möchte ich folgendes:
- Alle Anfragen vom LAN ins Internet durchlassen bzw. evtl. nur bestimmte Ports zulassen.
- Alle Dienste auf dem Server vom LAN erreichbar lassen
- Port 21,(evtl. 22),25,80,110,143,443 von außen zulassen
- Donkey Ports an internen Rechner forwarden (natd)
- und alles andere von außen geblockt werden.
So, ich denk das ist es erstmal.
Cu
André