PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Problem] PF Konfiguration



BlueMaster
01.02.2006, 12:25
Hallo zusammen ....

Ich sitze gerade an der Konfiguration eines PF auf ein OpenBSD
Mein Ziel ist es neben den normalen Firewall funktionen ein Routing umzusetzen

Ich wil also über die 2 netzwerkkarten unterschiedliche Dienste schicken.

Also z.B. HTTP Verkehr muss über diese Netzwerkkarte diese Route über dieses Gateway gehen und FTP eben über eine andere NEtzwerkkarte und ein anderes Gateway

Ziel:
Karte 1
HTTP
PING
SSH
UDP


Karte 2
Nur ftp um die Systemupgrades darüber zu fahren


Wichtig ist natürlich ín und out auf den entsprechenden Karten laufen muss

Ich versuch die ganze zeit schon mit route to herum aber das will nicht so recht und der Firewall-Builder ist auch noch nciht die Lösung.

Könnt Ihr mir die Syntax oder besser die entsprechenden Zeilen schreiben??

THX BlueMaster

rikola
01.02.2006, 13:22
Auch auf die Gefahr hin, dass Du jetzt genervt mit den Augen rollst, weil es DIE Antowort ist, die Du nicht gesucht hast, aber das, was Du verwirklichen moechtest, ist doch sehr genau in der pf.conf-Dokumentation von OpenBSD beschrieben? Ich kenne die Syntax nicht genau, aber zunaechst wuerde ich mit
'block' alles blockieren und dann mit 'pass' die Dienste durchlassen, die Du erwaehnt hast.

avaurus
01.02.2006, 13:46
eine frische OpenBSD Installation enthält eine /etc/pf.conf mit allen nötigen Kommentaren. Man kann alleine aus diesen Kommentaren seine pf.conf zusammenfrickeln.

BlueMaster
01.02.2006, 15:42
jaja das ist mir schon klar

in der /etc/pf.conf habe ich ja auch schon gesöbert ..... auch schon einiges an dokus.

Ich habe alle grundsätzlichen firewall regeln umgesetzt also ip v6 und nur bestimmte ip kreise usw das klappt ja.

standard ist ja block all aber dann langsam öffnen. Auf die idee einfach den traffic verschiedener dienste zu blocken hatte ich noch nicht. Dann werden die ja unter umständen verworfen und das will ich nicht

Mein Ansatz ist ja route to

also so irgendwie:
pass out on $extif route-to $extgw proto {udp, icmp, http, ssh} from keep state


So ähnlich, und genau da komm ich nicht weiter ....

BlueMaster