Re: [FreeBSD] Freebsd + PF
tekrar merhabalar,
kurallarımın en başında belirtmiş olduğum
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
bu satırlarından sonra iç ağdaki kullanıcılarıma fw belli portlara ulaşma izini
verdim
pass in quick on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
daha sonra fw nin dış modemlere bakan interfacelerinede çıkış izini verdim
pass out on $ext_if proto {tcp,udp} from $fwips to any keep state
pass out on $ext_if2 proto {tcp,udp} from $fwips to any keep state
iç ağdaki kullanıcılarım fw üzerinde izin verdiğim portlara bağlanabiliyorlar
problem yok ama izin vermeme rağmen dışarıdaki bir mail serverada
bağlanabiliyorlar.
bunu nasıl engelleyebilirim.
- Original Message --pass in quick on $int_if proto tcp from $lan_net to
any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
From: vys
To: freebsd@lists.enderunix.org
Sent: Wednesday, April 16, 2008 8:55 AM
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe hocam bu değerli bilgiler için teşekkür ederim
sağlıçakla kalın
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 9:34 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde
natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda
IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum.
2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi
sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini
kullanmam icin o sekilde belirtmem gerekiyor J
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 8:36 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları
açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 -
($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 -
($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag
IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from
any to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne
yapmak istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any
port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl
den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den
çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de
ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
Re: [FreeBSD] Freebsd + PF
merhabalar bu konu pf ile ama ipfw... benim sistemim freebsd 7.0 sistem üzerinde dhcp squid squidguard çalışmakta makinalar.ip alıp browsere proxy tanıtmak koşuluyla int çkış yapabiliyorlar ama.. ping yada başka bir portu kullanan bir program çalıştıklarında int yokmuş gibi davranıyor halbuki ipfw de allow from ant to any kuralı geçerli ne yapmam lazım.
RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi
nat/filtering kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin
ve round-robin kullanmayin.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
##
#Port Bazli Routing
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from
$fwips to any port 25 keep state
pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep
state
pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from
$lan_net to any port 25 keep state
##
# Firewalla izin veriliyor ç?k??lar
##
pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state
pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state
##
#Lan_net ten Firewalla izin verilen Portlar
##
pass in quick on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA
keep state
pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA
keep state
pass in quick on
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü
acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya
başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den
çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın
gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat
dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
##
#Port Bazli Routing
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from
$fwips to any port 25 keep state
pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep
RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken
2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1.
dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi
nat/filtering kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin
ve round-robin kullanmayin.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam,
yardımlarınız için çok teşekkür ederim şuan için söylediğiniz şekilde kurallar
çalışıyor. şuan için gördüğüm tek sıkıntı server üzerinden başka bir makinenin
mail sunucusuna telnet le bağlandığımda ehlo deyince 1-2 dakikalık bekleme
yapıyor ama dışarıdan kendi sunucuma bağlandığımda bir problem yok gayet hızlı
içeriden dışarı çıkmaya çalıştığımda bir yavaşlama var acaba nedendir. loglara
baktığımda bir engellemede yok.
Saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya
başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den
çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın
gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim
bir kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set
Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları
açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any
to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak
istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any port
smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya
başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den
çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın
gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim
bir kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net
RE: [FreeBSD] Freebsd + PF
Merhabalar,
1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde
natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme
kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum.
2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi
sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip
adresini kullanmam icin o sekilde belirtmem gerekiyor :-)
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 8:36 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var
bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 -
($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 -
($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag
IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from
any to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne
yapmak istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any port
smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken
2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1.
dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi
nat/filtering kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin
ve round-robin kullanmayin.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya
Re: [FreeBSD] Freebsd + PF
Huzeyfe hocam bu değerli bilgiler için teşekkür ederim
sağlıçakla kalın
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 9:34 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum
ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2
seklinde isaretlenmis paketleri diger arabirime gonderiyorum.
2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi
sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini
kullanmam icin o sekilde belirtmem gerekiyor J
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 8:36 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları
açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from
any to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak
istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any port
smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl
den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den
çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
merhabalar, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. iyi bir tercih olmus. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
Huzeyfe Onal wrote: PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. Aslinda bunu nasil belirleyecegimi tam cozemedim. PF ustunde inceledigim tum belgeler genel olarak IP'ler ve portlar uzerinden yonlendirmeleri ve kural kumelerini tanimlamaya donuktu. Yani bir kullanici kullandigi internet gezginine gmail.google.com ya da mail.yahoo.com vs. yazdigi zaman onu ikinci arabirime yonlendirmenin yolunu bulamadim. Bunun gibi web uzerinden hizmet veren adreslerin de sabit bir IP'leri var midir, belki onu arastirabilirim. Skype'ta da benzer bir sekilde, kisitlamaya donuk bazi denemeler gordum, Skype bos gordugu tum portlardan sirayla tarama yaptigindan tam sonuc bulunamadigini okudum, ama yonlendirmeye donuk ornekler bulamadim. tesekkurler, volkan evrin * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] freebsd pf
Merhaba,#1.Adsl Uzerinden
Gelisler kismindaki pass out quick
on $ext_if proto { udp, icmp } from $ext_if to any keep statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH yapabilirsiniz.pass out quick
on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep stateolmali kural..Ic agdan gelisler icin herhangibir kural yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick log on $int_if proto
tcp from $lan_net to any port { 22, 25, 80, 110 } flags S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall
Gelisler kismi islevsiz gozukuyor. On 11/4/06, Veysi Gümüs [EMAIL PROTECTED] wrote:
merhaba,
kural tablomu soylediginiz yola gore yeniden
duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar
acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port acik
olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu yukledigimde local
makinelerden firewall makinesine ulasamiyorum 22 25 110 80 portlari kural
tablosunda acmis durumdayim vermis oldugum rahatsizlik tan dolayida ozur
dilerim.kural tablosunu en son halini tekrar asagiya yazdim
saygilar.
Macros###lan_net = {
10.0.0.0/24, 10.0.2.0/24
, 10.0.3.0/24,
10.0.4.0/24 }int_if =
bge0ext_if = vr0ext_if2 = vr1ext_gw1 =
192.168.100.213ext_gw2 =
192.168.110.25
###Tanımlar##table
msn persist file /usr/local/etc/fw/msntable kamera persist
file /usr/local/etc/fw/kameratable ftp persist file
/usr/local/etc/fw/ftptable sigorta persist file
/usr/local/etc/fw/sigortatable banka persist file
/usr/local/etc/fw/banka
Set
Optimizations###set
limit { frags 3, states 25000 }set loginterface $ext_ifscrub in
all
###Nat
Kuralları##nat on
$ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to
any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 -
10.0.0.2 port 8080
###Firewall
Kuralları##block in
allblock out allpass in on $int_if route-to \ {
($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
pass in on $int_if route-to \
{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state
###1.Adsl Uzerinden
Gelisler##pass in quick
log on $ext_if proto tcp from any to any port = 22 flags S/SApass out quick
on $ext_if proto { udp, icmp } from $ext_if to any keep statepass out
on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
###2.Adsl Uzerinden
Gelisler##pass in quick
log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass
out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep
statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to
any keep state
###Localden Firewall
Gelisler##pass out quick
log on $int_if proto tcp from msn to any port = 1863 flags S/SApass
out quick log on $int_if proto tcp from kamera to any port = 18082 flags
S/SApass out quick log on $int_if proto tcp from sigorta to any port
= 12173 flags S/SApass out quick log on $int_if proto tcp from banka
to any port = 443 flags S/SApass out quick log on $int_if proto tcp from
ftp to any port = 21 flags S/SApass out quick log on $int_if proto
tcp from any to any port { 22, 25, 80, 110 } flags S/SA
- Original Message -
From:
Huzeyfe
Onal
To:
freebsd@lists.enderunix.org
Sent: Friday, November 03, 2006 6:42
PM
Subject: Re: [FreeBSD] freebsd pf
merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap
niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural
tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul
ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim;
pass out quick on $ext_if proto { udp, icmp }
from any to any keep statepass out quick on $ext_if2 proto { udp, icmp }
from any to any keep statepass in quick log on $ext_if2 proto tcp from
any to any port {25,80,110} flags S/SApass out quick log on $ext_if2
proto tcp from any to any port {25,80,110}flags S/SApass in quick log
on $ext_if proto tcp from any to any port = 22 flags S/SApass out on
$ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
Re: [FreeBSD] freebsd pf
Huzeyfe mrb,
yapmis oldugunuz yardimlardan dolayi tesekkur
ederim.vermis oldugunuz bilgiler sayesinde suan firewall calisiyor.cok tesekkur
ederim.
Saygilar
Veysi Gumus
- Original Message -
From:
Huzeyfe
Onal
To: freebsd@lists.enderunix.org
Sent: Saturday, November 04, 2006 11:00
AM
Subject: Re: [FreeBSD] freebsd pf
Merhaba,#1.Adsl Uzerinden
Gelisler kismindaki pass out quick on
$ext_if proto { udp, icmp } from $ext_if to any keep
statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH
yapabilirsiniz.pass out quick on
$ext_if proto { tcp, udp, icmp } from $ext_if to any keep
stateolmali kural..Ic agdan gelisler icin herhangibir kural
yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick
log on $int_if proto tcp from $lan_net to any port { 22, 25, 80, 110 } flags
S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall
Gelisler kismi islevsiz gozukuyor.
On 11/4/06, Veysi
Gümüs [EMAIL PROTECTED]
wrote:
merhaba,
kural tablomu soylediginiz yola gore yeniden
duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar
acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port
acik olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu
yukledigimde local makinelerden firewall makinesine ulasamiyorum 22 25 110
80 portlari kural tablosunda acmis durumdayim vermis oldugum rahatsizlik tan
dolayida ozur dilerim.kural tablosunu en son halini tekrar asagiya
yazdim
saygilar.
Macros###lan_net =
"{ 10.0.0.0/24, 10.0.2.0/24 , 10.0.3.0/24, 10.0.4.0/24 }"int_if = "bge0"ext_if = "vr0"ext_if2 = "vr1"ext_gw1
= "192.168.100.213"ext_gw2
= "
192.168.110.25"
###Tanımlar##table
msn persist file "/usr/local/etc/fw/msn"table kamera
persist file "/usr/local/etc/fw/kamera"table ftp persist file
"/usr/local/etc/fw/ftp"table sigorta persist file
"/usr/local/etc/fw/sigorta"table banka persist file
"/usr/local/etc/fw/banka"
Set
Optimizations###set
limit { frags 3, states 25000 }set loginterface $ext_ifscrub in
all
###Nat
Kuralları##nat on
$ext_if from $lan_net to any - ($ext_if)nat on
$ext_if2 from $lan_net to any - ($ext_if2)rdr
on $int_if proto tcp from any to any port 80 - 10.0.0.2 port
8080
###Firewall
Kuralları##block in
allblock out allpass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin \ proto tcp from $lan_net to any flags
S/SA modulate state
pass in on $int_if route-to
\ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin \ proto { udp, icmp } from $lan_net to any
keep state
###1.Adsl
Uzerinden
Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22
flags S/SApass out quick on $ext_if proto { udp, icmp } from
$ext_if to any keep statepass out on $ext_if2 route-to
($ext_if $ext_gw1) from $ext_if to any keep state
###2.Adsl Uzerinden
Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port
{25,80,110} flags S/SApass out quick on $ext_if2 proto { udp, icmp }
from $ext_if2 to any keep statepass out on $ext_if route-to
($ext_if2 $ext_gw2) from $ext_if2 to any keep state
###Localden
Firewall Gelisler##pass out quick log on $int_if proto tcp from msn to any
port = 1863 flags S/SApass out quick log on $int_if proto tcp
from kamera to any port = 18082 flags S/SApass out quick log on
$int_if proto tcp from sigorta to any port = 12173 flags S/SApass out quick log on $int_if proto tcp from banka to
any port = 443 flags S/SApass out quick log on $int_if proto tcp
from ftp to any port = 21 flags S/SApass out quick log on
$int_if proto tcp from any to any port { 22, 25, 80, 110 } flags
S/SA
-
Original Message -
From:
Huzeyfe Onal
To:
freebsd@lists
Re: [FreeBSD] freebsd pf
merhaba,sunucular icin yonlendirme(rdr) kuraliniz yok. smtp, pop, www servisler firewall uzerinde mi calisiyor? Yok firewall uzerinde calismiyorsa bu sunucular icin RDR kurallari yazmalisiniz.ek olarak yazdiginiz pass inquick on $int_if all kurali ondan sonra $int_if 'e gelecek tum kurallarin islevsiz kalmasini sagliyor.
On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote:
Huzeyfe bey mrb,söylediginiz sekilde kurallari duzenledim fakat bu sefer makineye ping
cekebiliyorum ama 22 25 110 80 portlari acmama ragmen server aulasamiyorum uygalamis oldugum kurallari tekrar asagiya yaziyorum.saygilarveysi gumus###
# Macros###lan_net = 10.0.0.0/24lan2_net = 10.0.2.0/24lan3_net =
10.0.3.0/24lan4_net = 10.0.4.0/24int_if = bge0ext_if = vr0ext_if2 = vr1ext_gw1 =
192.168.100.213ext_gw2 = 192.168.110.25###Tanımlar##
table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kameratable ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigorta
table banka persist file /usr/local/etc/fw/banka Set Optimizations###set limit { frags 3, states 25000 }
set loginterface $ext_ifscrub in all###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if from $lan2_net to any - ($ext_if)nat on $ext_if from $lan3_net to any - ($ext_if)nat on $ext_if from $lan4_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if2 from $lan2_net to any - ($ext_if2)nat on $ext_if2 from $lan3_net to any - ($ext_if2)nat on $ext_if2 from $lan4_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 -
10.0.0.2 port 8080###Firewall Kuralları##block in allblock out allpass inquick on lo0 all
pass out quick on lo0 allpass inquick on $int_if allpass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto tcp from $lan_net to any flags S/SA modulate state
pass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto { udp, icmp } from $lan_net to any keep statepass out quick on $int_if proto { udp, icmp } from any to any keep state
pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass out quick log on $int_if proto tcp from msn to any port = 1863
flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443
flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flagsS/SApass out quick log on $int_if proto tcp from any to any port{22,25,80,110} flags S/SApass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}
flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any-Cikmak icin, e-mail:
[EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]
http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar- Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member [EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Huzeyfe bey mrb, öncelikle yardimlariniz için tesekur ederim. freebsd ve pf'ye yeni başladigim için anlatmaya çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ? kural dosyasinda bahsetmis oldugumuz kurallar yazili oldugu halde calismiyor pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any saygilar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 2:54 PM Subject: Re: [FreeBSD] freebsd pf Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim;
pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}
flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to anyen ustteki kurada quick kelimesi kullandginiz icin alttaki out kurallarina bakilmiyor ve paketler diger arabirimden cikmaya calisiyor. Bunu netlestirmek icin tcpdump -i ext_if2(arabirim adi neyse) -tttnn tcp port 25 komutunu calistirirsiniz ve disaridan bir yerden baglanti kurmaya calisirsiniz gelen paketleri burada goruyor olmalisiniz. ayni komutu diger arabirim icin calistirirsaniz paketlerin o arabirimden cikmaya calistiklarini da goreblirsiniz.
asagida yazdigim kurallar sadece 2. hattan gelen baglantilarin ayni hattan donmesi icin. Buna gore diger kurallar yazarsinizpass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SA
pass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state
On 11/3/06, Veysi Gümüs [EMAIL PROTECTED] wrote:
Huzeyfe bey mrb,
öncelikle yardimlariniz için tesekur
ederim.
freebsd ve pf'ye yeni başladigim için anlatmaya
çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ?
kural dosyasinda bahsetmis oldugumuz kurallar
yazili oldugu halde calismiyor
pass out on $ext_if route-to ($ext_if2
$ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if
$ext_gw1) from $ext_if to any
saygilar...
- Original Message -
From:
Huzeyfe
Onal
To:
freebsd@lists.enderunix.org
Sent: Friday, November 03, 2006 2:54
PM
Subject: Re: [FreeBSD] freebsd pf
Merhabalar,bahsettigim kural ic agdaki IP adresleri
icin gecerli idi...Disaridan erisilememe problemi paketlerin diger
hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan
ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye
calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin
ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim.
pass out quick on
$ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to
any keep stateek olarak bu kural ailesi istediginiz isleri
yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur.
On 11/3/06, [EMAIL PROTECTED]
[EMAIL PROTECTED] wrote:
evet
smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr
kuralı eklemedim söylediğiniz gibipass inquick on
$int_if all kurallını iptal edip tekrar denedim fakatyinede
ulaşamadım.saygılar-Cikmak
icin, e-mail: [EMAIL PROTECTED]Liste
arsivi: http://lists.enderunix.orgTurkiye'nin
ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
-- Huzeyfe ÖNALEnderUnix Core Team
Member[EMAIL PROTECTED]
http://www.enderunix.org/huzeyfe+90
505 5260064---
-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe
+90 505 5260064---
