[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] Aiuto regole pf.
Mittente: Marco Spiga
Data: Mon, 31 Oct 2005 20:48:46 +0100 (CET)
> Ciao, nel file /etc/pf.conf c'è un esempio già funzionante per fare le
> cose
> di cui hai bisogno.
> Basta che tu sostituisca i nomi delle interfacce di rete con le tue
> (interna
> ed esterna).
> Le interfacce le vedi con il comando ifconfig -a (es. fxp0 ne0 etc.)
> Ricordati di editare il sysctl.conf per abilitare il routing dei
> pacchetti
> ipv4 o ipv6 se lo usi. ( net.inet.ip.forwarding=1, basta togliere il
> commento)
> In rc.conf devi invece impostare a yes la voce pf (pf=YES).
> Consiglio un bel reboot e poi tutto dovrebbe funzionare.
> Non conosco molto bene iptables ma se non ricordo male non supporta il
> pat,
> cosa che invece è nativa nel PF.
> Se vuoi continuare ad usarlo, devi utilizzare il comando binat che puoi
> vederti nel manuale con man pf.conf o nel sito www.openbsd.com nella
> sezione
> documentazione.
> Ciao.
> Andrea


> Subject: Re: [openbsd] Aiuto regole pf.
> From: mayhem <mayhem@xxxxxxxxxxxxx>
> To: openbsd@xxxxxxxxxxxxx
> Date: Mon, 31 Oct 2005 17:30:56 +0100
> X-Mailer: Evolution 2.4.1 
> 
> On Sat, 2005-10-29 at 14:14 +0200, Marco Spiga wrote:
> 
> 
> > Non riesco a capire come configurare il firewall del mio desktop in
> > openbsd, in modo che:
> > 
> > 1) Faccia uscire qualsiasi tipo di traffico verso l'internet.
> > 
> > 2) Faccia entrare da internet solo i pacchetti ESTABLISHED e RELATED
> > (cosi in iptables) del protocollo tcp.
> 
> - in rc.conf pf=YES
> 
> - in pf.conf:
> 
> int="nome della tua scheda di rete, es xl0"
> ip="tuo ip/32"
> 
> #non processare il traffico da/per la loopback
> set skip on lo0
> # sanificazione del traffico
> scrub all
> 
> # blocco tutto il traffico in entrata 
> block in all
> #permetto tutto quello in uscita dalla mia scheda con il mio ip
> # e creo lo state che autorizzerà il traffico di ritorno
> pass out quick on $int from $ip to any keep state state 
> # blocco e loggo tutto il resto del traffico in entrata
> block in quick log all
> 
> - attivare le regole: pfctl -f /etc/pf.conf
> 
> con tcpdump -nvi pflog0 vedi cosa viene bloccato in real time.
> 
> è chiaramente un esempio base che puo' andare bene ma puo' essere
> migliorato molto.
> 
> un mayhem parti da qui e riconfrontalo con le faq di pf ;P
> -- 
> Dan: Everybody wants to be happy. 
> Larry: Depressives don't. They want to be unhappy to confirm they're
> depressed. If they were happy they couldn't be depressed anymore. They'd
> have to go out into the world and live. Which can be depressing.
> https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057



> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

Grazie mayhem e Andrea per le esaustive indicazioni, anche se in
risposta ad Andrea posso confermare che esiste sia nat che pat ;-)
Devo comunque ammettere che la sintassi delle regole tra pf e iptables
è davvero differente.

Un' altra domanda . . .
ma quel: keep state state vale sia per il traffico tcp che udp?
Se cosi fosse vuol dire che gestisce il protocollo udp conosciuto come
tipo connection less . . . . ????


A presto!!

-- 
				!!!!! Messaggio da Marco !!!!!




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005