ipfw-rules

HangLoose

Mitglied
Thread Starter
Registriert
06.05.2003
Beiträge
52
moin moin

ich kenne mich zwar ein wenig mit iptables aus, aber mit ipfw sieht es (noch?) mau aus.

erstmal mein netzaufbau

PHP:
                                   |
                                   |
                            Router(linux)
                                   |
                                   |
                                 Switch 
                                   |
                                   |
                      ---------------------
                     |                     |
                     |                     |
              Client(linux)              Ibook

um eine sichere verbindung zwischen router und ibook zu schaffen, hab ich eine openvpn-tunnel *gegraben*. die verbindung steht auch soweit, kann die beiden tunneldevices jeweils anpingen.

wo ich jetzt bloß nicht weiter komme, sind die ipfw rules. ich möchte quasi, das auf meinem ibook die gesamte kommunikation über den tunnel läuft, der rest soll gesperrt werden. achso *physikalisch* läuft der verkehr über die airportkarte mittels udp port 5000.

so sieht mein script bisher aus:

#erlaube Loopback

add 1000 allow ip from any to any via lo0


#erlaube alles über das Tunneldevice

add 1030 allow ip from 192.168.2.24 to 192.168.2.21 via tun0 out
add 1040 allow ip from 192.168.2.21 to 192.168.2.24 via tun0 in


# ueber Airportkarte nur udp 5000 erlauben

add 2010 allow udp from 192.168.1.4 to 192.168.1.1 5000 via en1 out
add 2020 allow udp from 192.168.1.1 to 192.168.1.4 5000 via en1 in


#verbiete den Rest und schreibe sie ins log

add 3010 deny log all from any to any in
add 3020 deny log all from any to any out


wenn ich jetzt allerdings einen scan vom router aus mache, zeigt er mir einen haufen offener ports an.

nmap -sU 192.168.1.4

Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:34 CEST
Interesting ports on ibook.local (192.168.1.4):
(The 1465 ports scanned but not shown below are in state: closed)
Port State Service
53/udp open domain
123/udp open ntp
514/udp open syslog
1023/udp open unknown
6502/udp open netop-rc

Nmap run completed -- 1 IP address (1 host up) scanned in 27.844 seconds

nmap 192.168.1.4


Starting nmap 3.20 ( www.insecure.org/nmap/ ) at 2003-07-04 22:38 CEST
Interesting ports on ibook.local (192.168.1.4):
(The 1607 ports scanned but not shown below are in state: closed)
Port State Service
4000/tcp open remoteanything
6000/tcp open X11
6502/tcp open netop-rc

Nmap run completed -- 1 IP address (1 host up) scanned in 27.198 seconds


ein *filtered* hätte ich ja noch verstanden, aber ein open :confused:


ich hoffe mir kann jemand weiterhelfen.



Gruß HL
 

HangLoose

Mitglied
Thread Starter
Registriert
06.05.2003
Beiträge
52
moin moin

hm, irgendwie verstehe ich jetzt gar nichts mehr. ich hab jetzt mal probehalber nur 2 deny rules eingebaut.

[ibook:/Users/rip] rip# ipfw -a l
01010 0 0 deny ip from any to any
01110 0 0 deny tcp from any to any out
65535 0 0 allow ip from any to any

und komischerweise, kann ich weiter surfen, ssh verbindung starten etc.

jemand ne idee wie das kommt?


Gruß HL
 

HangLoose

Mitglied
Thread Starter
Registriert
06.05.2003
Beiträge
52
moin moin

so jetzt läuft alles, wie es soll. falls jemanden die regeln interessieren.

if [ `/usr/sbin/sysctl -n net.inet.ip.fw.verbose` == 0 ] ; then
/usr/sbin/sysctl -w net.inet.ip.fw.verbose=1
fi

#
# # variables
#
fwcmd="/sbin/ipfw" # leave as is if using ipfw

###
# Rules with descriptions
#
# Force a flush of the current firewall rules before we reload
$fwcmd -f flush

# Allow loop back to work
$fwcmd add allow all from any to any via lo0

# Prevent spoofing of loopback
$fwcmd add deny log all from any to 127.0.0.0/8


###
# User rules:

$fwcmd add allow all from any to any via tun0
$fwcmd add allow all from any to any via tun0

$fwcmd add allow udp from 192.168.1.4 to 192.168.1.1 5000 via en1
$fwcmd add allow udp from 192.168.1.1 to 192.168.1.4 5000 via en1

$fwcmd add deny all from any to any via en1
$fwcmd add deny all from any to any via en1

#
#####################################################
#
# End firewall script.



Gruß HL
 

Create an account or login to comment

You must be a member in order to leave a comment

Create account

Create an account on our community. It's easy!

Log in

Already have an account? Log in here.

Oben