pf problem

C

casualx

Grünschnabel
hallo zusammen

ich habe ein problem bei pf...möchte vom server nicht alle verbindungen nach draussen erlauben nur scheinnt dort die regel,im übrigen die selbe die auf einem client funzt, nicht zu funktionieren.

hier meine pf.conf

Code: 
set skip on lo
puffy="{192.168.1.112}"
outgoing="{80, 443, 53, 22, 6667, 6669, 8118, 21, 2401, 5999, 25, 110, 995, 587,465,829,49152:65535}"
block in all
pass in quick on dc0 from 192.168.1.0/24 to $puffy
block out all

pass out on dc0 proto tcp from $puffy to any port $outgoing
pass out on dc0 proto udp from $puffy to any port 53
 
Vielleicht liegt es daran, dass Du bei beiden 'pass'-Richtungen die gleiche Netzwerkkarte angegeben hast - Dein Server hat doch bestimmt zwei, oder nicht? Bin kein Experte fuer pf, und den Einfluss, die Karte bei 'pass' mit anzugeben, habe ich mir noch nicht so zur Gemuete gefuehrt, aber mein erster Versuch waere es, dort die zweite Netzwerkkarte anzugeben - sofern Du die hast.
 
hallo tgruene
besten dank für deine antwort!
hab den fehler doch noch gefunden...
Code: 
set skip on lo

puffy="{192.168.1.112}"
outgoing="{80, 443, 53, 22, 6667, 6669, 8118, 21, 2401, 5999, 25, 110, 995, 587, 465, 829, 49152:65535}"

block out
block in

pass in on dc0 proto tcp from 192.168.1.0/24 to $puffy port 22
pass in on dc0 proto tcp from 192.168.1.0/24 to $puffy port 80


pass out on em0 proto tcp from any to any port $outgoing
pass out on em0 proto udp from any to any port 53
hast recht das mein (künfitger) server zwei interfaces hat wobei eins per dhcp vom provider seine ip etc. kriegt und eins ne statische ip hat die über ein gateway bzw. router an mein heimnetzwerk angeschlossen ist.

als ich das OS von der Installer cd installiert habe hat es aber explizit(ich hab das nochmal getestet) von dem interface installiert das per router in mein heimnetz integriert ist und deshalb hab ich anfangs gedacht es müsse der ausgehende verkehr auf diesem interface freigegeben werden.ich sag nur autsch....tut fast schon weh wenn manns hinterher betrachtet...lol
 
Zwei Sachen würde ich noch ergänzen :)

Anstelle von:
Code: 
block out
block in
kannst du besser dies hier nehmen:
Code: 
block all
Dies hat mir bei mir zusätzlich zu einer "besseren" Verbindung gesorgt:
Code: 
match in all scrub ( no-df max-mss 1440 )
 
besten dank für den tipp.werds heute mal ergänzen
 
Anmelden, um zu antworten.

Ähnliche Themen

ip6tables Problem
ip6tables Problem: Hallo zusammen, ich hab ein Problem kann aber keinen Fehler finden, äußert sich wie folgt, ich habe endlich für ein System in Netz eine IPv6 bekommen und...

PF mit NAT OpenBSD 5.4
PF mit NAT OpenBSD 5.4: Hi Folks, folgendes Problem. Ich habe 2 VMs eine Windows VM und eine OpenBSD VM. Die OpenBSD VM soll NAT Router spielen. Dazu habe ich OpenBSD 5.4...

Bruteforce-Angriffe auf FTP mit PF verhindern
Bruteforce-Angriffe auf FTP mit PF verhindern: Hallo Leute, ich bin gerade dabei, mir einen FTP-Server mit OpenBSD 5.0 aufzusetzen. Eigentlich läuft schon alles so weit, allerdings würde ich gerne...

pf: interne Anfragen-Umleitung
pf: interne Anfragen-Umleitung: Hallo, ich verwalte ein kleines Netzwerk aus etwa 10-20 Rechnern. Es gibt einen Server (Debian stable), vor dem noch eine OpenBSD 4.9 Firewall geschaltet...

JBidWatcher: Problem bei loading Auctions in Verbindung mit mySQL
JBidWatcher: Problem bei loading Auctions in Verbindung mit mySQL: Moin Moin, ich habe das Problem bei JBidWatcher, dass ich das Programm in Verbindung mit einer mySQL-Datenbank nutzen möchte... Leider hängt sich das...

Neueste Themen

Zurück
Oben