MErhaba,
kurallariniza bakinca
pass in quick on $int_if proto tcp from 192.168.0.0/24 to any port
$acilacak_tcp
satirinda izin verilen MSN portu(ve digerleri) icin geriye donus kurali
eksik. bunun icin bu kurallarin sonuna keep state eklemeniz yeterlidir.
pass in quick on $int_if proto tcp from 192.168.0.0/24 to any port
$acilacak_tcp keep state
gibi..
Konunun detayi,
ic agdan biri msn portuna istek yolluyor ve sizin kurallarinizda buna
izin verdigi icin istek ic arabirime geliyor, sonra nat islemi
gerceklesiyor ve istek msn sunucularina ulasiyor, gelen cevaplar dis
arabirimde keep state kullandiginiz icin iceri aliniyor fakat ic agdaki
kullaniciya donerken herhangi bir pass kurali olmadigi icin block in
kuralina takiliyor.. Bunu asmak icin ya keep state kullanmalisiniz ya da
iceri gidecek paketler icin de ayri pass kurali girmelisiniz
On Thu, 2006-05-25 at 15:50 +0300, Ascara Bina wrote:
> Merhabalar,
> İlginiz için teşekkür ederim , bilgiler aşağıdaki gibi :
>
> Ağ Yapısı :
> ADSL ---- vr1 - 192.168.1.1/24 # vr0 - 192.168.0.1/24 ---------- İç
> Ağ
> iç ağdaki makineler openbsd üzerinden dhcp ile ip adresi alıyorlar.
> 192.168.0.20-200 arasında, gw olarak 192.168.0.1 nameserver olarak
> 192.168.1.254 (adsl modemin ip adresi) atanıyor.
>
> /etc/pf.conf
> ext_if="vr1"
>
> int_if="vr0"
>
> acilacak_tcp =
> "{53,1863,6901,6891,6892,6893,6894,6895,6896,6897,6898,6899,6900,80,443,22}"
>
> acilacak_udp =
> "{53,1863,6901,6891,6892,6893,6894,6895,6896,6897,6898,6899,6900}"
>
> tcp_services="{ 22, 113, 80}"
>
> icmp_types="echoreq"
>
> set block-policy return
>
> set loginterface $ext_if
>
> set skip on lo
>
> scrub in
>
> nat on $ext_if from !($ext_if) -> ($ext_if:0)
>
> block in
>
> pass out keep state
>
> antispoof quick for { lo $int_if }
>
> pass in on $ext_if inet proto tcp from any to ($ext_if) port
> $tcp_services flags S/SA keep state
>
> pass in inet proto icmp all icmp-type $icmp_types keep state
>
> pass in quick on $int_if proto tcp from 192.168.0.0/24 to any port
> $acilacak_tcp
>
> pass in quick on $int_if proto udp from 192.168.0.0/24 to any port
> $acilacak_udp
>
>
>
>
> On 5/25/06, Huzeyfe ONAL <[EMAIL PROTECTED]> wrote:
> Merhabalar,
> ontanimli olarak 1863. porttan MSN baglantisinin calismasi
> lazim.
> Kurallarinizda yanlis/eksik yapmis olma olasailiginiz var mi?
> Gonderebilirseniz bir inceleyelim..
> On Thu, 2006-05-25 at 15:12 +0300, Ascara Bina wrote:
> > Merhaba,
> > Pf ile bir firewall hazırlıyorum sadece web ve msn'e
> girilebilecek.
> > Tüm portları blokladım ,53, 80, 443 numaralı portları ve msn
> için
> > 1863,6901,6891,6892,6893,6894,6895,6896,6897,6898,6899,6900
> numaralı
> > portları (tcp/udp) açtım fakat hala msn'e bağlanamıyorum.
> Sorun ne
> > olabilir ?
> >
> > İyi çalışmalar.
> --
> ---------------------
> Huzeyfe ONAL
> http://www.EnderUNIX.org
>
>
> ---------------------------------------------------------------------
> Cikmak icin, e-mail: [EMAIL PROTECTED]
> Liste arsivi: http://lists.enderunix.org
> Turkiye'nin ilk FreeBSD kitabi:
> http://www.acikakademi.com/freebsd.php
>
>
>
--
---------------------
Huzeyfe ONAL
http://www.EnderUNIX.org
---------------------------------------------------------------------
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
