[BSD] tuzfalazas

Csaba Molnár (molnarcs) csabamolnar at gmail.com
2006. Jan. 4., Sze, 17:42:01 CET


2006. január 4. 15.15 dátummal Molnar Roland ezt írta:
> Sziasztok
>
> Egy uj kerdesem lett a handbook olvasgatasa kozben: a tobbfele tuzfalazas
> kozott (PF, IPF, IPFW) van valami erdemi kulonbseg, ami miatt az egyiket
> erre, a masikat arra lehet, erdemes hasznalni, vagy egy es ugyanazt tudjak,
> valositjak meg es mindegy melyiknek allok neki eloszor?
> Ami erdekelne a fentieken kivul, hogy melyikkel erdemes foglalkozni, ha
> altalanos celu otthoni tuzfalat szeretnek letrehozni NAT-tal megspekelve?
>
> Koszonom elore is.

Nekem (főleg ha NAT is kell) a pf tűnt a legjobbnak (ráadásul mostmár van pf 
netbsd alá is, így három oprendszer tűzfalához is értesz). Egyszerűbb is 
konfigurálni, és nagyon nagyon jó a dokumentáció. 
http://www.openbsd.org/faq/pf/index.html (van valahol pdfben is).

Egy otthoni konfig igy nez ki (ssh, ftp, samba engedélyezéssel, némi traffic 
normalizációval - scrub - és nattal). 

# macros, lists
ext_if="vr0"    # replace with actual external interface name i.e., dc0
int_if="ed0"
internal_net="192.168.0.1/16"
external_addr="172.19.5.120"

# options
set block-policy drop

# igy nem latjak milyen vagy hany gep van a nat mogott
scrub on ed0 all reassemble tcp

# nat - itt adjuk meg hogy mirol mire menjen a cimforditas
nat on $ext_if from $internal_net to any -> ($ext_if)

# ez kell asszem egy csomo progihoz (pl X.org)
pass quick on lo0 all

#default policy
block all

# allow outgoing and return traffic

pass out quick on $ext_if proto tcp to any keep state
pass out quick on $ext_if proto { udp, icmp } to any keep state

# allow nat traffic (a nat mar be van allitva, mostmar csak engedelyezni
# kell a forgalmat a kulso es belso halozat kozott
pass in quick on $int_if from $internal_net to any keep state
pass out quick on $int_if from any to $internal_net keep state

# ping
pass in inet proto icmp all icmp-type echoreq keep state

# network services: ssh, ftp, mail, web
pass in quick log on $ext_if proto tcp to port 22 flags S/SA keep state
pass in quick on $ext_if proto tcp to port 21 keep state
pass in quick on $ext_if proto tcp to port 25 keep state
pass in quick on $ext_if proto tcp to port 80 keep state
pass in quick on $ext_if proto tcp to port 443 keep state

# lisa?
pass in on $ext_if proto tcp to port 7741 keep state
pass in on $ext_if proto udp to port 7741 keep state

# samba
pass in on $ext_if proto udp to port { 137, 138 } keep state
pass out on $ext_if proto udp to port { 137, 138 } keep state
pass in on $ext_if proto tcp to port 139 modulate state



További információk a(z) BSD levelezőlistáról