FreeBSD als Gateway/Firewall

[anoniem]

[quote:a0f873f0a1="opamax"] Ja, in de bsd-bak zitten -nog- 2 nic's; 1 naar het adsl-modem (rl0) en 1 naar de xp-bak (rl1), waarmee ik communiceer.[/quote:a0f873f0a1]Dus je bent overgeschakeld naar een vast ip-adres voor het adsl-modem. Ik denk dat je die nic beter kunt laten staan op dhcp [code:1:a0f873f0a1] ifconfig_rl0="DHCP"[/code:1:a0f873f0a1]Die tweede nic kun je inderdaad op een statisch ip adres laten. [quote:a0f873f0a1="opamax"]Wat me nu opvalt is dat netstat geeft 'default gateway 10.0.1.3' terwijl de default eigenlijk zou moeten zijn 10.0.0.2 dus het adsl-modem. Hoe kan het dat zoiets anders is dan in de rc.conf. [/quote:a0f873f0a1] Maar die 10.0.1.3 staat toch in je rc.conf [quote:a0f873f0a1="opamax"][code:1:a0f873f0a1] ifconfig_rl0="inet 10.0.0.13 netmask 255.0.0.0" [/code:1:a0f873f0a1][/quote:a0f873f0a1] [quote:a0f873f0a1="opamax"]Verkeerd geconfigged ? Waar/wat ?? Ben me er absoluut niet van bewust daarmee bezig te zijn geweest.[/quote:a0f873f0a1]Zoals die statische ipadres voor je adsl-modem. Heb je de configuratie van je adsl-modem gewijzigd? [quote:a0f873f0a1="opamax"]In rc.conf de rl0 verplaatst naar onderen (..) In rc.conf de sshd-regel verplaatst, naar onder in de file. 14 minuten tijdwinst ![/quote:a0f873f0a1] Aannemende dat je in FreeBSD je kernel al gecompileerd had met de options [code:1:a0f873f0a1] gateway_enable=YES firewall_enable=YES [/code:1:a0f873f0a1] en in je /etc/services deze regel hebt staan [code:1:a0f873f0a1] natd 8668/divert # Network Address Translation socket [/code:1:a0f873f0a1] Verwacht ik dat je /etc/rc.conf er ongeveer zo uitziet [code:1:a0f873f0a1] ifconfig_rl1="inet 10.0.1.2 netmask 255.255.255.0" ifconfig_rl0="DHCP" hostname="ROUTER-01" sshd_enable="yes" gateway_enable="yes" firewall_enable="yes" natd_enable="yes" natd_interface="rl0" natd_flags="-f/etc/natd.conf" sendmail_enable="NO" inetd_enable="NO" tcp_extensions="NO" lpd_enable="NO" [/code:1:a0f873f0a1] Eventueel in een andere volgorde. In /etc/natd.conf [code:1:a0f873f0a1] interface rl0 use_sockets yes same_ports yes [/code:1:a0f873f0a1] Daarbij komen dan nog wel de Packet Filter (PF) regels. En in /usr/local/etc/rc.d/natd.sh [code:1:a0f873f0a1] natd -interface rl0 /sbin/ipfw -f flush /sbin/ipfw add divert natd all from any to any via rl0 /sbin/ipfw add pass all from any to any [/code:1:a0f873f0a1]

[anoniem]

Solcon beweert a) je hebt een vast ip-adres en b) het adsl-modem te adresseren als 10.0.0.2. Dat is al bijna 1 jaar zo. Op de XP ook ingesteld op 10.0.0.2 als gateway en werkt perfect. Vanaf de bsd-bak is (als de utp DAAR in zit) een ping naar (rl0) 10.0.0.2 OK Desondanks toch liever DHCP ?? Om welke reden ? De kernel (nu dus versie 6) nog niet gecompileerd; "dat doe je pas als het nodig is" heb ik eens ergens gelezen. En ik denk het nog niet nodig te hebben omdat er nog geen fw actief is. Enne.. heb het plan om met PF te gaan werken. Hoort die 'firewall_enable' niet specifiek bij IPFW of is die universeel. Anyhow, was van plan pas hieraan (en natd) te gaan werken in een volgende fase. Kan toch ? Of niet ? Is het -alleen- voor gateway nodig dat kernel wordt geconfigged ?

[anoniem]

[quote:94055c9118="opamax"] Solcon beweert a) je hebt een vast ip-adres en b) het adsl-modem te adresseren als 10.0.0.2. Dat is al bijna 1 jaar zo. (..) Desondanks toch liever DHCP ?? Om welke reden ? [/quote:94055c9118] Het zou makkelijker te configureren zijn. Maar als je er echt zeker van bent dat die ip adres van het adsl-modem vast is, dan kun je [code:1:94055c9118] ifconfig_rl0="DHCP" [/code:1:94055c9118] vervangen door [code:1:94055c9118] ifconfig_rl0="inet 10.0.0.13 netmask 255.255.255.0" defaultrouter="10.0.0.2" [/code:1:94055c9118] Het ip adres adsl-modem die je ook gebruikt om via je browser deze te configureren. Tevens behoren dan de nameservers van je provider in je /etc/resolv.conf te staan. [quote:94055c9118="opamax"] heb het plan om met PF te gaan werken. Hoort die 'firewall_enable' niet specifiek bij IPFW of is die universeel. Anyhow, was van plan pas hieraan (en natd) te gaan werken in een volgende fase. Kan toch ? Of niet ? [/quote:94055c9118] Zal ook wel andere toepassingen hebben dan IPFW. Voor IPFW hoeft de kernel niet te worden gecompileerd. Hier is nog wat info over [url=http://www.freebsd.easyasthat.co.uk/54.06.09.0-IPFIREWALL_IPFW_Firewall.htm]IPFIREWALL (IPFW) Firewall.[/url] [quote:94055c9118="opamax"] Is het -alleen- voor gateway nodig dat kernel wordt geconfigged ?[/quote:94055c9118] De opties [code:1:94055c9118] gateway_enable=YES firewall_enable=YES [/code:1:94055c9118] in je kernel zijn dan vereist. http://nedbsd.nl/modules/wiki/page/Simpele+Gateway

[anoniem]

[quote:9e8df2c15e="opamax"] Wat me nu opvalt is dat netstat geeft 'default gateway 10.0.1.3' terwijl de default eigenlijk zou moeten zijn 10.0.0.2 dus het adsl-modem.[/quote:9e8df2c15e] Nu ik je rc.conf van de vorige baldzijde nogmaals bekijk, valt het me op dat je die defaultroute regel al twee maal hebt. [code:1:9e8df2c15e] defaultrouter="10.0.0.2" defaultrouter="10.0.1.3" [/code:1:9e8df2c15e] De defaultroute regel zou maar 1 keer in je rc.conf behoren te staan. Tevens heb ik een foutje uit mijn vorig bericht gecorriceerd. Ook de hostname regel zou er maar 1 keer in hoeven te staan.

[anoniem]

[quote:506ba877b8="jolo"]En verschijnt op de FreeBSD bak tijdens het opstarten, na de Starting sshd wel zoiets als [code:1:506ba877b8] Local package initialization: Flushed all rules. 00100 divert 8668 ip from any to any via ed0 00200 allow ip from any to any [/code:1:506ba877b8] Waarbij in plaats van ed0 de naam staat van jouw nic, die naar je internet modem gaat.[/quote:506ba877b8]Nee, dat zie ik niet, ook niet in /var/log/messages. Moet dat ? En moet dat in /etc/natdconf ? Die heb ik niet aangemaakt. In de kernel heb ik wel options FIREWALL en options IPDIVERT. Dat ik nog geen natd.conf heb aangemaakt komt omdat denk dat zoiets niet nodig is met pf-fw. OF,, moet ik even 1 of andere consekwnte lijn volgen ?

[anoniem]

[quote:8a2a913bb5="opamax"] Dat ik nog geen natd.conf heb aangemaakt komt omdat denk dat zoiets niet nodig is met pf-fw. OF,, moet ik even 1 of andere consekwnte lijn volgen ?[/quote:8a2a913bb5] Als je eerst de firewall wilt doen, dan hoef je nog geen natd.conf aan te maken. En ook nog geen kernel te compileren. Dan zou je verder kunnen gaan met [url=http://www.freebsd.org/doc/nl/books/handbook/firewalls-pf.html]deze info.[/url] Wel heb je dan een /etc/pf.conf voor de firewall regels nodig. Een voorbeeld vind je op [url=http://www.muine.org/~hoang/openpf.html]deze site.[/url]

[anoniem]

Slechts 1x defaultrouter in rc.conf ? Moet dat dan niet bij elke nic en dus vaker ? Heb, na een nieuwe install, in de kernel niet meer options firewall en divert, maar wel:[code:1:d41eeef0b7] device pf device pf log device pfsync[/code:1:d41eeef0b7]Na de melding don't forget to do "make depend" en na cd ../compile/ROUTER-01 werd een nieuwe opdracht gemeld; make cleandepend. Heb nu de opdracht gegeven[code:1:d41eeef0b7]make cleandepend && make depend && make && make install[/code:1:d41eeef0b7] Is dat OK? (staat nu nog dapper te torren) Heb ergens gelezen over pf ja/nee in de kernel: Nee; niet nodig, laadbare module wordt al geladen door instellen in rc.conf. Ja; het kan, maar dan wordt laadbare module NIET gebruikt. Is dat een spinsel van iemand ? Moet ivm pf in /etc/services natd 8668/divert afgehekt worden ?

[anoniem]

Heb na de kernel ook enkele files aangepast en dus weer reboot. Maar keyboard reageert nu helemaal niks meer. Nog een hetstart leerde dat tijdens de Bios het kb het nog goed doet. Zit 'm dus in freebsd. Waar/wat kan dat zijn ? Over een hardware router: Er van uitgaande dat je met freebsd een goede gateway/router/firewall kunt bouwen. Is er met vergelijkbare capaciteiten een router te koop en wat kost zoiets ?

[anoniem]

[quote:ce3f4f90d0="opamax"]Heb ergens gelezen over pf ja/nee in de kernel: Nee; niet nodig, laadbare module wordt al geladen door instellen in rc.conf. Ja; het kan, maar dan wordt laadbare module NIET gebruikt. Is dat een spinsel van iemand ? [/quote:ce3f4f90d0] Daar heb ik op dit moment geen pasklaar antwoord op. Echter je zou een blik kunnen werpen op deze site over FreeBSD packet filter (pf) http://pf4freebsd.love2party.net/ [quote:ce3f4f90d0="opamax"][code:1:ce3f4f90d0]make cleandepend && make depend && make && make install[/code:1:ce3f4f90d0] Is dat OK? (staat nu nog dapper te torren) [/quote:ce3f4f90d0] Ok. [quote:ce3f4f90d0="opamax"]Heb na de kernel ook enkele files aangepast en dus weer reboot. Maar keyboard reageert nu helemaal niks meer. Nog een hetstart leerde dat tijdens de Bios het kb het nog goed doet. Zit 'm dus in freebsd. Waar/wat kan dat zijn ? [/quote:ce3f4f90d0] Wat voor een keyboard? PS/2 of USB? [quote:ce3f4f90d0="opamax"]Over een hardware router: Er van uitgaande dat je met freebsd een goede gateway/router/firewall kunt bouwen. Is er met vergelijkbare capaciteiten een router te koop en wat kost zoiets ?[/quote:ce3f4f90d0]Dat hangt ervan af wat je van een router verwacht. Wellicht kun je dat beter vragen in een Nieuw Onderwerp.

[anoniem]

[quote:7e93a6e356="jolo"][quote:7e93a6e356="opamax"]Over een hardware router: Er van uitgaande dat je met freebsd een goede gateway/router/firewall kunt bouwen. Is er met vergelijkbare capaciteiten een router te koop en wat kost zoiets ?[/quote:7e93a6e356]Dat hangt ervan af wat je van een router verwacht. Wellicht kun je dat beter vragen in een Nieuw Onderwerp.[/quote:7e93a6e356]Heb dat inderdaad voorgelegd in een nieuw onderwerp. De reacties daarop zijn best wel wat verrassend. Het lijkt er dus op dat je met een router de mogelijkheid hebt om bepaalde services van/naar andere pc's in het lan manipuleren. En als je dan bijv alleen poort 80 open houdt dan kan er toch niet veel mis gaan ?

[anoniem]

[quote:0e2a2696ad="opamax"]Het lijkt er dus op dat je met een router de mogelijkheid hebt om bepaalde services van/naar andere pc's in het lan manipuleren. En als je dan bijv alleen poort 80 open houdt dan kan er toch niet veel mis gaan ?[/quote:0e2a2696ad] Poort 80 zou beter gesloten kunnen zijn, tenzij je een goed beveiligde webserver hebt draaien. En een account bij je provider hebt die dit toestaat. Verder kun je inderdaad ook met een router poorten open zetten of forwarden.