[BSD] pf nem megy, és nem is értem

[Balazs Pocze]

Zsolt Sztankay wrote:
> Csak ennyi a pf.conf, vagy van meg mas resze is? Amennyit irtal, arra
> probaltam reagalni. En kernel configot neznek es ha ertelmes logot kepes
> generalni a pf, akkor azt (pl melyik szabaly blokkolja). Bar meg
> gondolkozom a pf-re atallassal, ugyhogy egy kicsit vak vezet vilagtalan
> otletek lesznek... ;-)
> 
nem, ez nem a teljes, de szerintem ha ez megy, akkor a többit már meg
tudom oldani :)

> On 2005.04.11., at 8:29, Balazs Pocze wrote:
> 
>> Mi a baj ezzel a pf.conf-fal?
>>
>> # Helyibol minden mehet
>> pass out on $wan_if from $wan_if to any keep state
> 
> Ize, en nem vagyok pf guru, de a 'from' utan nem egy ip cim tartomanynak
> kellene mennie? Vagy a pf elfogad egy interface-t is es azt feloldja,
> mert az pl dinamikus?
> 

nem, úgy látom, hogy lehet interfész is.

>> #Alapban mindent tiltunk
>> block in on $wan_if from any
>> block in on $lan_if from $lan_net
>> block in on $dmz_if from $dmz_net
> 
> Furcsa, hogy nincs 'to' resz, de hatha a pf igy is szereti.
> 
>> #LAN-ra vonatkozo szabalyok
>> pass in quick on $lan_if proto tcp from $lan_net to $dmz_net port {
>> 22,         25, 80, 110, 138, 139, 143, 443, 465, 993, 2222 } keep state
> 
> Ez akar jo is lehet, de logikusan csak a $dmz_net gepeit fogod latni
> ezeken a portokon szerintem es csak a $lan_net-rol.

igen, ez a szabály csak arra vonatkozik. Az a baj, hogy nem látszik
Ha korábban nem azt mondom, hogy "block in on $dmz_if from $dmz_net",
hanem, hogy "block in on $lan_if from $dmz_net" akkor elvileg megy, de
akkor tényleg elveszítettem a fonalat.
> 
>> pass out quick on $wan_if proto tcp from <mailhosts> port smtp to any
>> keep state
>
> Hm. A levelezoszervernel nem a celportnak kene az smtp-nek lennie? A
> befele jovot a 'pass in ... keep state'-tel lerendezted.

az külön szabály, nem is másoltam ide. Itt arról van szó, hogy csak a
levelező szerverek küldhetnek KI levelet a hálózatbol, ezzel is
csökkentve egy esetleges féreg által okozott kárt.