xpenziuz
-
Innlegg
42 -
Ble med
-
Besøkte siden sist
Innholdstype
Profiler
Forum
Hendelser
Blogger
Om forumet
Innlegg skrevet av xpenziuz
-
-
Ikke uoverkommelig dette, men det lønner seg gjerne å bruke et par pf-triks for å få det til:
priv = "192.168.4.1/24"
guest = "10.0.0.1/24"
ext_if = em0
priv_if=vlan1
guest_if=vlan2
block all
pass in on $guest_if from $guest
pass out on $ext_if from $guest
# [ andre filtreringsregler ]
Med 'block all' som første filtreringsregel må du eksplisitt tillate hver enkelt tjeneste, det gir som regel bedre oversikt, og på denne måten får du den separasjonen du vil ha.
Med fare for å være for selvhevdende vil jeg anbefale å ta en titt på http://home.nuug.no/~peter/pf/, eventuelt skaffe et eks av http://nostarch.com/pf2.htm (elektronisk utgave leveres om jeg forstår det rett med en gang du har knappet inn kredittkortinfo )
- Peter
Hei. takk for svar, men det funket ikke. har allerede block all i pf.conf. prøvde å forenkle det litt for den som eventuelt svarte
Så om det var på en måte mulig å lage en slags "tunnel" fra $vlanguestnet til ut i verden?
Og som erfart med ipfw kunne dette gjøres med "out via $ext_if"
her er det egentlige pf script:
#"Macros" #User-defined variables may be defined and used later, simplifying #the configuration file. Macros must be defined before they are #referenced in pf.conf. #Interfaces: ext_if = "re1" int_if = "re0" #Virtual interfaces: vlanguest = "vlan30" vlanpriv = "vlan40" vlanprivnet = "vlan40:network" vlanguestnet = "vlan30:network" #Nat on interfaces: naton = "{ 192.168.4.0/24, 192.168.5.0/24 }" #Noroutes noroute = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }" #Mailserver mail-ip = "192.168.1.2" mail-ports = "{ smtp, https, pop, 8025 }" #"Tables" #Tables provide a mechanism for increasing the performance and flex- #ibility of rules with large numbers of source or destination #addresses. #table <private> const { 10/8, 172.16/12, 192.168/16 } table <badhosts> persist #"Options" #Options tune the behaviour of the packet filtering engine. #Traffic Normalization (e.g. scrub #Traffic normalization protects internal machines against inconsis- #tencies in Internet protocols and implementations. #"Queueing" #Queueing provides rule-based bandwidth control. #"Translation" (NAT) #Translation rules specify how addresses are to be mapped or redi- #rected to other addresses. nat on $ext_if from $naton to any -> ($ext_if) #nat on $ext_if from ! $vlanguestnet to any tag NAT -> ($ext_if) #"Packet Filtering" #Packet filtering provides rule-based blocking or passing of pack- #ets. #Block all by default block all #Block bad hosts block quick from <bad_hosts> #Rfc1918 (private ip ranges) #block in log quick on $ext_if from $noroute to any #block out log quick on $ext_if from any to $noroute #Pass traffic for local lan #pass on $vlanguest from $vlanguestnet to any keep state #Pass traffic from me to any pass in on $vlanguest from $vlanguestnet pass out on $ext_if from $vlanguest pass from $ext_if to any keep state #Allowed incoming connections to me pass in on $ext_if proto tcp to $ext_if port www keep state \ (max-src-conn-rate 100/10, overload <badhosts> flush global) pass in on $ext_if proto tcp to $ext_if port ssh keep state \ (max-src-conn-rate 100/10, overload <badhosts> flush global) pass in on $ext_if proto tcp to $ext_if port 10000 keep state
-
Hei. jeg er i en fase hvor jeg vil prøve og kommer over fra ipfw til pf.
mitt nettverk er som følger:
internet
----|----------
____em0_________
|--------------|
|-----em1------|
|__vlan1-vlan2_|
----|-----|----
--priv---guest
IP:
priv har 192.168.4.1
guest har 10.0.0.1
Problemet her er og få alle pakker fra guest (vlan2) til å gå direkte ut via em0 og ikke ha "låv" å gå til vlan1 osv. Slik det er nå kan jeg gå frem og tilbake på vlanene gjennom nat.
Her er det jeg har i pf:
nat on em0 from 10.0.0.0/24 to any -> (em0)
pass on vlan2 from 10.0.0.0/24 to any keep state (er det ikke mulig og spesifisere hvor denne skal gå ut ? som ipfw's "out via" og "in via"
Gjorde dette enkelt i ipfw med en regel som dette:
$cmd 014 allow all from 10.0.0.0/24 to any out via vlan2
$cmd 016 allow all from 10.0.0.0/24 to any in via vlan2
takker for alle svar
-
Hei. skal bygge sammen en server som jeg skal bruke til linux. Noen som kan anbefale komponenter til å sette inn.? Har nå en ganske kjapp server pc. men er ikke fornøgd med stabilitet.. Så, noen som har noen tips ?
Takker for alle svar
-
Hei skal prøve meg på vpn tenkte jeg. skal sette opp en server slik at jeg fra eksterne steder kan logge meg på mitt nettverk hjemme.. er dette mulig med vpn og hva programvare bør jeg bruke (tenker sikkerhet) prøvde meg på openvpn men fant ikke noen særlig bra howto's på dette. så jeg tenkte jeg skulle spørre her hva dere anbefaler, vilke guider som er til å anbefale.
Takk for svar
-
blokkkkkkkkkkkked
-
Jepp port 53 er open, både udp og tcp.. noen som vet noe som kan ha innspill ?
-
Hei, har litt trøbbel med dns server, sone er lagt opp og satt opp ligt som en annen server jeg har som er oppegående, det som er problemet er at jeg får til svar fra domeneshop når jeg prøver å legge til min egen ns er : Navnetjeneren ns.blabla.org svarer ikke autorativt på forespørsler om sonen domene.com.
Er det noen som vet hva dette skyldes ?
-
Hei, Sliter litt med mine cat6 utp kabler som jeg har lagt fra ett sentralt punkt og ut i hele huset. Kjøpte noen bokser for cat6 stp kabel, kan dette ha noe å si eller ? Så litt senere på produsentens hjemmesider, der stod det at boksene var laget for 10/100 mbit/s, Jeg kjører 10/100/1000 mbit/s switcher på hver i sentralt punkt og en i den andre enden av kabelen. Hvorfor får jeg ikkje kontakt med den andre switchen med punktene på endene av kablene, men med vanlig rj45 plugg får jeg gjennomslag ?
Noen som vet litt om dette. takker for alle svar.
-
Det er ikke en flyttet windows installasjon, det er en nyinstallert windows xp fra orginal plate, Det har skjedd i movie maker og i Adobe Premiere får jeg ikke låv å spille inn fra dv kamera, der kommer det feil (bare error in capture) eller noe sånt. skal teste harddisk og cpu og ram å se om noe feiler der. Denne maskinen har jeg satt sammen selv ved hjelp av anbefalinger av deler, dette skal vel ikkje være noe dårlig kombinasjon ? Jeg møtte også trøbbel ved oppstart hvor den brukte fryktelig lang tid å starte opp maskinen..
-
Hei har noe problem med pcen her, somregel klarer windows å få til en feilmelding om at programmet må lukkes..
Har følgende konfigurasjon:
Antall Varenr. Beskrivelse
1.00 310299 Asus A8N-SLI Premium, nForce4 SLI,Socket
-939, Super Cooling pipe, PCI-Ex16
1.00 311700 AMD Athlon 64 X2 3800+ 2.0GHz Socket 939
1MB, BOXED m/vifte
1.00 314091 NEC DVD-brenner ND-3550 IDE White OEM
DVD+R/+RW/DVD-R/-RW (Dual layer)
1.00 124220 Hitachi Deskstar 7K250 250GB SATA
8MB 7200RPM
1.00 300720 Serial ATA cable 50 cm vinklet
SATA/SATA2 (for 1 harddisk)
1.00 308157 AC Ryan IDE-kabel ATA133 rund, 90cm
Sort, med 2 kontakter
1.00 311940 Logitech G5 Laser Mouse,
USB
1.00 302907 Microsoft Digital Media PRO Keyboard,
USB, PS/2, Zoom
1.00 114712 Sony DVD-spiller 16x/40x IDE Hvit
OEM
1.00 311999 Asus GeForce 6600GT 256MB GDDR3 Silencer
,EN6600GT, PCI-Express, Tv-Out/DVI-I
1.00 302138 Corsair TWINX2048-3200C2 DDR-DIMM 2048MB
Kit w/two matched CMX1024-3200C2 DIMMs
Windows XP sp2
Noen som vet hva dette kan være? takk for all hjelp:)
-
Kjører debian, kernel 2.4.18 om jeg ikke tar feil. kjører apache 1.3.1 med php 5.0.5. Det er ikke tilgang til /home/www som er min webbane.
Har oppdatert til 2.4.27 om jeg ikke tar feil, skal vel bare være å ta en reboot før den er i den kernelen. Websystemet som jeg brukte var e107, kan det være dette som ikke er helt uten hull ?
-
-
-
hva må da til for å kjøre den i chroot ?
-
Ser ut som ftp kjører som nobody brukeren ? da er den vel chroot ?
-
har oppdatert alle passord til et sikrere passord, men likevel har de komt seg in.
Kjører ikke awstats. men skal få det inn å se. Hva hjelper dette med ?
Firewall har kun de nødvendige porter opne fra utsiden, kan de være ftp som er synderen ? jeg kjører PROftpd.
-
Hei. har nå blitt angrepet fra en eller annen hacker som gjør at dette legger seg i www mappen min: http://moon67.sitemynet.com/
Hvordan kan disse komme inn, de har ikke kommet seg inn via ftp. Jeg har ikke peiling hvordan de kommer seg in.
Noen som har noen forslag som kan hjelpe meg å holde disse personene borte eller for å ikke la de slippe inn å få ødelegge ?
Takker for alle svar.
-
Er på en skole hvor bare port 80 er open, er det mulig å bruke en annen å lure nettverket til å tro at en er på port 80 om en eks bruker port 22 ?
Takk for alle svar
-
Hei.. har et lite problem, hver gang jeg skal brenne ut en avi fil til dvd henger Nerovision seg når den har kommet ca 1 / 5 del av prosessen.. noen som vet hva jeg kan gjøre for å fikse dette ?
-
Har problem med at min nec 2500a ikkje vil brenne ut dvd. den viser bare som om det skulle vert en helt normal cd-brenner.. men det er jo en Dvd brenner. Nerovision viser bare Video cd eller lignende som kan brennes med vanlig cd brenner. noen som vet noe om dette problemet. kan det være firmwareen ?
Takk på forhånd:)
-
Takker for alle svar
Lurer på en ting til, hva firmware er best for Nec 2500 ?
-
Hei. kjøpte meg nettop Nec 2500 DVD brenner,
Men den brenner bare 4x på Verbatim platene jeg kjøpte som jeg leste her på dette forumet skulle vere mulig å brenne ved 8x.
Kan det være en oppdatering på nero som må til for 8x-en ?
Takker for alle svar!
##Topic endret av moderator - vennligst la oss slippe å gjøre dette igjen - Blib##
-
Hei. har en dell inspiron 8600. Det jeg lurer på er om det er mulig å bytte ut bakdekselet. det der det står "Dell" på, kansje det er mulig å få noe casemod liksom?
-
Hei, jeg holder på med et prodjekt som skal styre noen lys på rommet mitt, har også tenkt litt på låsen i døra, noen som har forslag eventuelt en howto på hvordan dette gjøres? Har tenkt å bruke seriell porten til dette.
BSD/UnixIpfw til pf
i Operativsystemer
Skrevet
Bruker freebsd 8.1, holder på å bytte server, så jeg driver bare litt testing før jeg setter freebsd 8.1 serveren på plass.
Kan det eventuelt være en ide og og tillate alt og blokkere traffik mellom de etterpå?¨
eks:
eller vil det åpne for å sette "en ip" og komme seg inn ved eks å ha 10.0.1.4 og dermed komme gjennom alikevel ?