H
hardwarefreak20
Hi, erstmals vorweg bin ein absoluter Neueinsteiger in SachenOpenBSD.
Zu meinem Netzwerk: Habe auf einem Rechner einen Proxy und E-Mail-Server und dahinter möchte ich eine transparente OpenBSD Firwall. Habe die Netzwerkkonfiguration bereits abgeschlossen und benötige nun Hilfe bei der Einrichtung der Firewall
Der http Proxy empfängt Anfragen auf Ports 800
Hier meine Regeln:
ext_if="ne3"
int_if=re0"
lan_net="192.168.1.0/24"
loop="lo0"
scrub in all
block in all
block out all
set skip on lo0
pass in quick on re0
pass out quick on re0
block quick inet6
pass out quick on ne3 proto tcp from any to any port 800 keep state
pass in quick on ne3 proto tcp from any to any port 800 keep state
pass out quick on ne3 proto tcp from any to any port http keep state
pass in quick on ne3 proto tcp from any to any port 800 modulate state flags S/SA
Fertig
Nun wie kann ich diese Firewall noch verbessern?
Ist es möglich einen Port nach der Filterung umzuleiten obohl sie transparent (also ohne NAT) arbeitet? Möchte nämlich eine Regel erstellen für den Port 445, die es mir erlaubt den https-Verkehr nur für einige Webseiten zuzulassen uznd anschließend umleiten auf den Port 800 des Proxy-Servers.
Noch eine kleine Zusatzfrage:
Wenn ich diesen Eintrag vornehme:
pass out quick on ne3 proto tcp from any to any port 800 keep state
läßt dann die Firewall alle Anfragen raus oder nur die Anfragen über Port 800?
denn ohne Portangabe bewirkt keep state ja, dass jede Antwort auf ein rausgehendes Paket rein darf, oder? Will aber explizit nur den Port 800 und später 445 erlauben
Hoffe ihr könnt mir helfen
MfG Stephan
Zu meinem Netzwerk: Habe auf einem Rechner einen Proxy und E-Mail-Server und dahinter möchte ich eine transparente OpenBSD Firwall. Habe die Netzwerkkonfiguration bereits abgeschlossen und benötige nun Hilfe bei der Einrichtung der Firewall
Der http Proxy empfängt Anfragen auf Ports 800
Hier meine Regeln:
ext_if="ne3"
int_if=re0"
lan_net="192.168.1.0/24"
loop="lo0"
scrub in all
block in all
block out all
set skip on lo0
pass in quick on re0
pass out quick on re0
block quick inet6
pass out quick on ne3 proto tcp from any to any port 800 keep state
pass in quick on ne3 proto tcp from any to any port 800 keep state
pass out quick on ne3 proto tcp from any to any port http keep state
pass in quick on ne3 proto tcp from any to any port 800 modulate state flags S/SA
Fertig
Nun wie kann ich diese Firewall noch verbessern?
Ist es möglich einen Port nach der Filterung umzuleiten obohl sie transparent (also ohne NAT) arbeitet? Möchte nämlich eine Regel erstellen für den Port 445, die es mir erlaubt den https-Verkehr nur für einige Webseiten zuzulassen uznd anschließend umleiten auf den Port 800 des Proxy-Servers.
Noch eine kleine Zusatzfrage:
Wenn ich diesen Eintrag vornehme:
pass out quick on ne3 proto tcp from any to any port 800 keep state
läßt dann die Firewall alle Anfragen raus oder nur die Anfragen über Port 800?
denn ohne Portangabe bewirkt keep state ja, dass jede Antwort auf ein rausgehendes Paket rein darf, oder? Will aber explizit nur den Port 800 und später 445 erlauben
Hoffe ihr könnt mir helfen
MfG Stephan