moin moin
ich kenne mich zwar ein wenig mit iptables aus, aber mit ipfw sieht es (noch?) mau aus.
erstmal mein netzaufbau
um eine sichere verbindung zwischen router und ibook zu schaffen, hab ich eine openvpn-tunnel *gegraben*. die verbindung steht auch soweit, kann die beiden tunneldevices jeweils anpingen.
wo ich jetzt bloß nicht weiter komme, sind die ipfw rules. ich möchte quasi, das auf meinem ibook die gesamte kommunikation über den tunnel läuft, der rest soll gesperrt werden. achso *physikalisch* läuft der verkehr über die airportkarte mittels udp port 5000.
so sieht mein script bisher aus:
#erlaube Loopback
add 1000 allow ip from any to any via lo0
#erlaube alles über das Tunneldevice
add 1030 allow ip from 192.168.2.24 to 192.168.2.21 via tun0 out
add 1040 allow ip from 192.168.2.21 to 192.168.2.24 via tun0 in
# ueber Airportkarte nur udp 5000 erlauben
add 2010 allow udp from 192.168.1.4 to 192.168.1.1 5000 via en1 out
add 2020 allow udp from 192.168.1.1 to 192.168.1.4 5000 via en1 in
#verbiete den Rest und schreibe sie ins log
add 3010 deny log all from any to any in
add 3020 deny log all from any to any out
wenn ich jetzt allerdings einen scan vom router aus mache, zeigt er mir einen haufen offener ports an.
nmap -sU 192.168.1.4
Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:34 CEST
Interesting ports on ibook.local (192.168.1.4):
(The 1465 ports scanned but not shown below are in state: closed)
Port State Service
53/udp open domain
123/udp open ntp
514/udp open syslog
1023/udp open unknown
6502/udp open netop-rc
Nmap run completed -- 1 IP address (1 host up) scanned in 27.844 seconds
nmap 192.168.1.4
Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:38 CEST
Interesting ports on ibook.local (192.168.1.4):
(The 1607 ports scanned but not shown below are in state: closed)
Port State Service
4000/tcp open remoteanything
6000/tcp open X11
6502/tcp open netop-rc
Nmap run completed -- 1 IP address (1 host up) scanned in 27.198 seconds
ein *filtered* hätte ich ja noch verstanden, aber ein open
ich hoffe mir kann jemand weiterhelfen.
Gruß HL
ich kenne mich zwar ein wenig mit iptables aus, aber mit ipfw sieht es (noch?) mau aus.
erstmal mein netzaufbau
PHP:
|
|
Router(linux)
|
|
Switch
|
|
---------------------
| |
| |
Client(linux) Ibook
um eine sichere verbindung zwischen router und ibook zu schaffen, hab ich eine openvpn-tunnel *gegraben*. die verbindung steht auch soweit, kann die beiden tunneldevices jeweils anpingen.
wo ich jetzt bloß nicht weiter komme, sind die ipfw rules. ich möchte quasi, das auf meinem ibook die gesamte kommunikation über den tunnel läuft, der rest soll gesperrt werden. achso *physikalisch* läuft der verkehr über die airportkarte mittels udp port 5000.
so sieht mein script bisher aus:
#erlaube Loopback
add 1000 allow ip from any to any via lo0
#erlaube alles über das Tunneldevice
add 1030 allow ip from 192.168.2.24 to 192.168.2.21 via tun0 out
add 1040 allow ip from 192.168.2.21 to 192.168.2.24 via tun0 in
# ueber Airportkarte nur udp 5000 erlauben
add 2010 allow udp from 192.168.1.4 to 192.168.1.1 5000 via en1 out
add 2020 allow udp from 192.168.1.1 to 192.168.1.4 5000 via en1 in
#verbiete den Rest und schreibe sie ins log
add 3010 deny log all from any to any in
add 3020 deny log all from any to any out
wenn ich jetzt allerdings einen scan vom router aus mache, zeigt er mir einen haufen offener ports an.
nmap -sU 192.168.1.4
Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:34 CEST
Interesting ports on ibook.local (192.168.1.4):
(The 1465 ports scanned but not shown below are in state: closed)
Port State Service
53/udp open domain
123/udp open ntp
514/udp open syslog
1023/udp open unknown
6502/udp open netop-rc
Nmap run completed -- 1 IP address (1 host up) scanned in 27.844 seconds
nmap 192.168.1.4
Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:38 CEST
Interesting ports on ibook.local (192.168.1.4):
(The 1607 ports scanned but not shown below are in state: closed)
Port State Service
4000/tcp open remoteanything
6000/tcp open X11
6502/tcp open netop-rc
Nmap run completed -- 1 IP address (1 host up) scanned in 27.198 seconds
ein *filtered* hätte ich ja noch verstanden, aber ein open
ich hoffe mir kann jemand weiterhelfen.
Gruß HL