mboost-dp1

OpenBSD firewall krise


Gå til bund
Gravatar #1 - west
31. jul. 2007 03:46
Nu må i hjælpe mig, for jeg er ved at gå nuts.
Først et lille script:


# /etc/pf.conf

wir_if="ral0"	# Wireless interface
ext_if="sis0"	# Extern
lan_if="sis1"	# Intern

lan_addrs="{172.20.61.91 172.20.61.92 172.20.61.93}"
dns_servers="172.20.1.1"
dhcp_servers="172.20.1.1"

table <authpf_users> persist

scrub in all
#antispoof quick

#rdr pass on $wir_if proto tcp from ! <authpf_users> to any port 80 -> ($ext_if)

set skip on lo0

pass quick on $lan_if

block on $ext_if
# dhcp
pass out log on $ext_if proto udp from 0.0.0.0 to 255.255.255.255 port bootps
pass in  log on $ext_if proto udp from $dhcp_servers to $lan_addrs port bootpc

pass out quick on $ext_if from $lan_addrs to any keep state
pass in on $ext_if proto icmp from any to $lan_addrs keep state
pass in on $ext_if proto tcp from $lan_addrs to ($ext_if) port { ssh,www } \	# <--- MYSTISK !
keep state

anchor "authpf/*" in on $wir_if
block in on $wir_if
pass out quick on $wir_if
pass in log on $wir_if proto udp from 0.0.0.0 to 255.255.255.255 port bootps
pass in on $wir_if proto udp from $lan_addrs to $dns_servers \
port domain keep state



De 3 interfaces er bridged, kun $ext_if har en ip addresse.
Hvorfor kan jeg, fra en computer forbundet til interfacet $wir_if, tilgå firewallen på både HTTP og SSH ?
Hvis jeg fjerner linien "MYSTISK" kan jeg ikke. Til trods for at et sådant request aldrig burde gå
"in" ad $ext_if. Why oh why ?
Gravatar #2 - west
31. jul. 2007 03:50
Okay, det nye newz er fucked up.
Fair enough.

Her er scriptet, hvis nogen har tålmodighed til eksterne sider :)
http://www.student.dtu.dk/~s062209/pf.conf
Gravatar #3 - west
31. jul. 2007 04:23
Okay, man må vel så konkludere at requests sendt til
firewallen's egen addresse går ind af det interface der har en IP.

Pænt weird. Men nevermind about the ovenstående.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login