pf: interne Anfragen-Umleitung

Dieses Thema im Forum "OpenBSD" wurde erstellt von rikola, 01.07.2011.

  1. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Hallo,

    ich verwalte ein kleines Netzwerk aus etwa 10-20 Rechnern. Es gibt einen Server (Debian stable), vor dem noch eine OpenBSD 4.9 Firewall geschaltet ist. Bei der Firewall habe ich mich im grossen und ganzen an die Small-office Loesung der pf-FAQ gehalten.
    Anfragen z.B. an Apache auf dem Server werden von pf weitergeleitet mit
    Code:
    pass in on egress inet proto tcp to (egress) port $tcp_redir \
            rdr-to $shelx_srv synproxy state
    
    Wobei tcp_redir eben die gewuenschten ports enthaelt.
    Anfragen von innerhalb der Firewall werden nun nicht umgeleitet, was zur Folge hat, dass man per http auf die Firewall gelangt, wo kein httpd laeuft.
    Im Moment ergibt ein nmap innerhalb der Firewall:
    Code:
    root@shelx-server:~# nmap shelx.uni-ac.gwdg.de
    
    Starting Nmap 5.00 ( http://nmap.org ) at 2011-07-01 09:40 CEST
    Interesting ports on shelx.uni-ac.gwdg.de (134.76.64.11):
    Not shown: 996 closed ports
    PORT    STATE SERVICE
    13/tcp  open  daytime
    22/tcp  open  ssh
    37/tcp  open  time
    113/tcp open  auth
    
    Nmap done: 1 IP address (1 host up) scanned in 12.71 seconds
    
    Mit der Regel
    Code:
    pass in quick on $int_if inet proto tcp from 192.168.0.0/24 \
            to 134.76.64.11 port $tcp_redir_internal \
           rdr-to $shelx_srv synproxy state
    
    ergibt sich zwar
    Code:
    root@shelx-server:~# nmap shelx.uni-ac.gwdg.de
    
    Starting Nmap 5.00 ( http://nmap.org ) at 2011-07-01 09:37 CEST
    Interesting ports on shelx.uni-ac.gwdg.de (134.76.64.11):
    Not shown: 990 closed ports
    PORT    STATE SERVICE
    13/tcp  open  daytime
    22/tcp  open  ssh
    25/tcp  open  smtp
    37/tcp  open  time
    80/tcp  open  http
    113/tcp open  auth
    443/tcp open  https
    465/tcp open  smtps
    993/tcp open  imaps
    995/tcp open  pop3s
    
    Nmap done: 1 IP address (1 host up) scanned in 12.60 seconds
    
    d.h., man wird wohl auf den Server umgeleitet, doch kann sich ein Browser intern trotzdem nicht mit der Seite verbinden - es gibt einen timeout.
    Kann mir jemand sagen, wie ich dieses Problem loese (thunderbird/icedove funktionieren aus dem gleichen Problem innerhalb der firewall auch nur, wenn man den internen Namen des Server angibt, welcher von einem internen DNS auf 192.168.0.2 zeigt), d.h., dass Anfragen vom internen Netzwerk auf die externe IP-Adresse auf die interne Adresse 192.168.0.2 des Servers weitergeleitet werden? Oder gibt es eine andere Loesung (ausser einen Eintrag in /etc/hosts)?

    Hier die ganz pf.conf:
    Code:
    # 9/04/2011
    # pf.conf for shelx external network
    
    # macro definitions
    int_if = "em0"   # external card
    ext_if = "bge0"  # onboard device
    
    # redirected ports for server
    # 22: sshd; 80: http; 443: https; 465: smtps
    # 993: imaps; 995: pop3s 25: smtp
    tcp_redir = "{ 22, 25, 80, 443, 465, 993, 995 }"
    
    # internally: redirect everything except for ssh-port 22
    tcp_redir_internal = "{ 25, 80, 443, 465, 993, 995 }"
    icmp_types = "echoreq"
    
    # IP address of actual server
    shelx_srv = "192.168.0.2"
    # options (copied from OpenBSD pf-FAQ)
    set block-policy drop
    set loginterface $ext_if
    set skip on lo
    
    # match rules
    match out on egress inet from !(egress) to any nat-to (egress:0)
    
    # filter rules
    block in log
    # redirect internal tcp_services back to shelx server
    #pass in quick on $int_if inet proto tcp from 192.168.0.0/24 \
    #        to 134.76.64.11 port $tcp_redir_internal \
    #       rdr-to $shelx_srv synproxy state
    pass out quick
    
    antispoof quick for { lo $int_if }
    # redirect tcp_services to actual shelx server
    pass in on egress inet proto tcp to (egress) port $tcp_redir \
            rdr-to $shelx_srv synproxy state
    
    # "ping's"
    pass in inet proto icmp all icmp-type $icmp_types
    
    pass in on $int_if
    
    Danke
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

pf: interne Anfragen-Umleitung

Die Seite wird geladen...

pf: interne Anfragen-Umleitung - Ähnliche Themen

  1. Linus Torvalds über das Internet der Dinge

    Linus Torvalds über das Internet der Dinge: Erstmals hat Linus Torvalds, Initiator des Linux-Kernels, auf dem »Embedded Linux Conference & OpenIoT Summit« der Linux Foundation gesprochen und...
  2. LinusTorvalds über das Internet der Dinge

    LinusTorvalds über das Internet der Dinge: Erstmals hat Linus Torvalds, Initiator des Linux-Kernels, auf dem »Embedded Linux Conference & OpenIoT Summit« der Linux Foundation gesprochen und...
  3. Mozilla Foundation 2020 Strategie: Mehr Einsatz für offenes Internet

    Mozilla Foundation 2020 Strategie: Mehr Einsatz für offenes Internet: Mark Surman, Direktor der Mozilla Foundation, hat einen Entwurf der neuen Strategie vorgestellt, die die Organisation in den nächsten fünf Jahren...
  4. Internet-Experten empfehlen der FCC Open-Source-Software für Router

    Internet-Experten empfehlen der FCC Open-Source-Software für Router: 260 Internetexperten fordern in einem offenen Brief an die Federal Communications Commission (FCC), von ihren kürzlich veröffentlichten Plänen...
  5. Internet-Experten empfehlen der FCC Open-Source-Software für Router

    Internet-Experten empfehlen der FCC Open-Source-Software für Router: 260 Internetexperten fordern in einem offenen Brief an die Federal Communications Commission (FCC), von ihren kürzlich veröffentlichten Plänen...