[BSD] tuzfalazas
Csaba Molnár (molnarcs)
csabamolnar at gmail.com
2006. Jan. 4., Sze, 17:42:01 CET
2006. január 4. 15.15 dátummal Molnar Roland ezt írta:
> Sziasztok
>
> Egy uj kerdesem lett a handbook olvasgatasa kozben: a tobbfele tuzfalazas
> kozott (PF, IPF, IPFW) van valami erdemi kulonbseg, ami miatt az egyiket
> erre, a masikat arra lehet, erdemes hasznalni, vagy egy es ugyanazt tudjak,
> valositjak meg es mindegy melyiknek allok neki eloszor?
> Ami erdekelne a fentieken kivul, hogy melyikkel erdemes foglalkozni, ha
> altalanos celu otthoni tuzfalat szeretnek letrehozni NAT-tal megspekelve?
>
> Koszonom elore is.
Nekem (főleg ha NAT is kell) a pf tűnt a legjobbnak (ráadásul mostmár van pf
netbsd alá is, így három oprendszer tűzfalához is értesz). Egyszerűbb is
konfigurálni, és nagyon nagyon jó a dokumentáció.
http://www.openbsd.org/faq/pf/index.html (van valahol pdfben is).
Egy otthoni konfig igy nez ki (ssh, ftp, samba engedélyezéssel, némi traffic
normalizációval - scrub - és nattal).
# macros, lists
ext_if="vr0" # replace with actual external interface name i.e., dc0
int_if="ed0"
internal_net="192.168.0.1/16"
external_addr="172.19.5.120"
# options
set block-policy drop
# igy nem latjak milyen vagy hany gep van a nat mogott
scrub on ed0 all reassemble tcp
# nat - itt adjuk meg hogy mirol mire menjen a cimforditas
nat on $ext_if from $internal_net to any -> ($ext_if)
# ez kell asszem egy csomo progihoz (pl X.org)
pass quick on lo0 all
#default policy
block all
# allow outgoing and return traffic
pass out quick on $ext_if proto tcp to any keep state
pass out quick on $ext_if proto { udp, icmp } to any keep state
# allow nat traffic (a nat mar be van allitva, mostmar csak engedelyezni
# kell a forgalmat a kulso es belso halozat kozott
pass in quick on $int_if from $internal_net to any keep state
pass out quick on $int_if from any to $internal_net keep state
# ping
pass in inet proto icmp all icmp-type echoreq keep state
# network services: ssh, ftp, mail, web
pass in quick log on $ext_if proto tcp to port 22 flags S/SA keep state
pass in quick on $ext_if proto tcp to port 21 keep state
pass in quick on $ext_if proto tcp to port 25 keep state
pass in quick on $ext_if proto tcp to port 80 keep state
pass in quick on $ext_if proto tcp to port 443 keep state
# lisa?
pass in on $ext_if proto tcp to port 7741 keep state
pass in on $ext_if proto udp to port 7741 keep state
# samba
pass in on $ext_if proto udp to port { 137, 138 } keep state
pass out on $ext_if proto udp to port { 137, 138 } keep state
pass in on $ext_if proto tcp to port 139 modulate state
További információk a(z) BSD levelezőlistáról