[BSD] Re: Re: pf nem megy, és nem is értem

[Balazs Pocze]

István Szukács wrote:
>>a logikáját nem értem. Van 3 interfészem. $lan_if, $wan_if, $dmz_if.
>>Elég beszédes a nevük :)
> 
> 
> pl. en nem ertem ezt a fajta elnevezest
> 
$lan_if - az a láb, amelyik a belső hálóra néz.
$wan_if - az a láb, amelyik az internetre néz
$dmz_if - az a láb, amelyik a dmz felé van.
> 
>>Van két irányom: in, out.
>>Tegyük fel, le akar kérdezni az egyik $dmz-s gép az internetről http
>>protokollon valamt: Akkor mi történik?
>>
>>A, a $dmz_if-en bemegy (in) majd kimegy (out), a $wan_if-re bemegy, és
>>onnan ki (out)
>>B, a $dmz_if-en kimegy, majd a $wan_if-en is kimegy
>>C, a $dmz_if-en bemegy, majd a $wan_if-en kimegy
>>
>>most hirtelen ez a három magyarázat tűnik elképzelhetőnek. Melyik a helyes?
> 
> nem tom nalam ez ugy van megoldva hogy a lanrol kifele barmit lehet stateful
> befele semmit csak ping 
> deamugy ez a default PF FAQ tuzfalbol lett 
> 
> [...]
>
> ezek annyira egyszeruek hogy nem tom mit nemlehet rajtuk erteni
> a lan_net meg ertelemszeruen
>
praktikusan azt, hogy túl egyszerű a példa egy összetettebb dologra.
1, a Lanból kifelé _semmi_ nem mehet. Ami igen, az proxyn keresztül, de
akkor az nem a lan-ból irányul, hanem a proxyról.
2, a lan-ból a dmz-be csak meghatározott dolgok mehetnek. (levelezés,
http, ssh)
3, a dmz-ből a lan felé soha, semmilyen forgalom nem lehet megengedett.
(azért is dmz)
4, kintről el lehet érni a dmz-ben levő szerverek bizonyos
szolgáltatásait.( merthogy azért vannak a dmz-ben)
5, kintről nem lehet elérni semmit a tűzfalon.

+még natolok is, de az meg megy rendesen.

üdv,
  banyek