---

Hej.

Jeg køre med FreeBSD (v4.4), firewall (ipfw) og nat. Jeg kan til dels få
tingene til at fungere, men har lidt problemer. Jeg køre med følgende net:

Internt køre vi med 10-net. Vi har også nogle eksterne IP numre som alle er
tildelt firewall serveren (som så skal nat'e til de forskellige interne
servere alt efter hvilken port).

Allerførst i min rc.firewall fil, har jeg at alt nat skal divertes.
Dernæst har jeg at alle private net (10, 192.168, 172.16) skal spærres..
både fra at gå ud og fra at komme ind.
Efterfølgende har jeg at alt etableret trafik skal ryge videre.
Osv...

Det ser således ud (sorry for en lang post):
pif=public interface
iif=internal interface

${fwcmd} -f flush
${fwcmd} add 50 divert natd all from any to any via ${pif}
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

# Tillad alt IP fra lokalnet til lokalnet
${fwcmd} add allow all from any to any via ${iif}

# Stop RFC1918 nets on the outside interface (both in and out)
#${fwcmd} add deny all from any to 10.0.0.0/8 via ${pif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${pif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${pif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${pif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${pif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${pif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${pif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${pif}

# Tillad alt TCP der er established
${fwcmd} add allow tcp from any to any established

# Tillad alt TCP fra klienter til internettet (kontrollere i hosts filen)
${fwcmd} add allow tcp from jh to any via ${pif} setup

# Kontrol om der allerede findes en state connection
${fwcmd} check-state

# Tillad at vi kan traceroute
${fwcmd} add allow icmp from any to any icmptypes 3 out keep-state
${fwcmd} add allow icmp from any to any icmptypes 11 in keep-state

# Tillad at vi kan pinge og faa svar tilbage
${fwcmd} add allow icmp from any to any icmptypes 8 out keep-state
${fwcmd} add allow icmp from any to any icmptypes 0 in keep-state

# Tillad DNS og NTP queries til internettet
${fwcmd} add allow udp from any to any 53 out keep-state
${fwcmd} add allow udp from any to any 123 out keep-state

${fwcmd} add 65000 allow log all from any to any
#${fwcmd} add 65000 reject log all from any to any

Det er dét. Jeg er altså bestemt ikke ekspert på dette her (hvilket man jo
helt tydeligt sikkert ser) men mine pakker bliver deny'et i "# Stop RFC1918
nets on the outside interface (both in and out)" (det er derfor den med
10-net er udkommenteret). Det skulle helst fungere på den måde, at maskinen
ikke kan gå på inet uden at stå i hosts filen men så igen må alle der står
dér gerne kunne gøre alt (altså ICQ, Netmeeting og whatever). Jeg har kigget
i en masse eksempler og derfra fundet frem til hvad jeg ved, men det er jo
ikke sikkert at det er helt korrekt hvad jeg skriver så ehh... ville blive
glad hvis nogen kunne rette lidt på mig
(nederste linie er udkommenteret, da det ellers ikke fungere alt for godt).
Lige p.t. er jeg ikke kommet til det med at det skal forwardes til servere,
så det er derfor det ikke er med endnu.

Mvh. Jørgen.