FreeBSD + IPFW + apache

Fórumok

Hello
egy kis problemaval kuzkodom elinditom a webszervert bentihalozatbol el tudom erni de ha kintrol az internetrol probalom elerin nem enged
telnet a 80-as portra nem mukodik. az ipfw ezt adja
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
elore is koszonom.

Hozzászólások

nem volt meg.
IPFW hat meg uj vagyok a BSD teruleten es ez volt felteve alapbol. de hogy jobban atlasd a dolgot van egy linux firewall amin van firewall iptables-el megcsinaltam a portforwardot POSTROUTING -el amely a BSD gepre forwardolja a 80-as portjara.
iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 realis_ip_cim tcp dpt:80 to:192.168.1.2:80
jeleneleg a BSD csak egy darab halozati kartyam van a fenti ip cimmel, melyen fut a webszerver.
ha csak egy halozati kartya van es 1 ip cim akor is szikseges a portforward ?
Miert nem ajanlod az IPFW-ot ?
Koszi

Nagyon puritánok tűzfal szabályaid, még a legalapvetőbb "IP spoofing" elleni szabályok is hiányoznak. Vagy azok a belső, linuxos gépen vannak?

Amikor én hasolót csináltam, akkor a külső gépen futott a nat, és azon, a natd.conf-ban oldottam meg a port átirányítást is, nem a belső gépen.

Amikor pedig https-t akartam a tűzfalon, akkor a stunnellel tettem ki a belső http szerver portját a tűzfal https portjára (hogy ne kelljen az apache ssl modulját használni).

---
If you have money, use Windows!
However, if you also have a brain, use Linux!

ha csak egy halozati kartya van es 1 ip cim akor is szikseges a portforward ?

Igen, ha az a hálózati kártya router mögött csücsül. :-)

IPFW hat meg uj vagyok a BSD teruleten es ez volt felteve alapbol.

FreeBSD-ben mindhárom (IPFW, ipfilter, pf) benne van.

Miert nem ajanlod az IPFW-ot ?

A pf tud mindent, amire neked szükséged lehet, és beállítani is könnyebb, meg dinamikusabb, meg minden. Pl. MAC addresst viszont nem tud szűrni.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).

Így van, de kezdőknek a pf (szerintem) jobban ajánlott. Benchmarkokat nem tudok, hogy teljesítményben melyik a jobb, de én a pf-el elégedett vagyok.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).

Én is ipfw-t használok. És én is azért mert ahhoz elsőre találtam kezdőként számomra könnyen megérthető doksit (FreeBSD handbook-ot elég volt elolvasni hozzá, hogy elkezdjem sejteni). Érdekes módon midenki fintorog meg "miiiértpontipfw?" kérdéssel bombáznak. Én meg azt nem értem, hogy miért. Tudja azt, amire szükségem van. Biztos van szebb, gyorsabb meg okosabb. De minek vegyek városba 300LE-s autót ha városban járkálok? A dugóban állni egy 26LE-s is pont ugyanúgy tudok. :) Nekem a pf a mai napig bonyolultabbnak tűnik, mint az ipfw. Persze ez fakadhat az én korlátozott szellemi képességeimből is. De egyszer ha időm lesz rászánom magam és kitapasztalom. Valami csak lehet benne, ha ennyien esküsznek rá.

FreeBSD handbook-ot elég volt elolvasni hozzá, hogy elkezdjem sejteni

OpenBSD FAQ-t kell a pf-hez elolvasni, és elkezded sejteni. Egy NAT-ot portforwarddel, sávszél-korlátozással 10 perc alatt össze lehet hányni benne, és kb. 20 sor. Persze most nem hittéríteni akarok, csak azt akartam mondani, hogy a pf legalább olyan jól dokumentált.
--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).

Sziasztok
Bongesztem a halon a dokumentaciot az ipfw-rol es pf-rol, es az elobbi kerdesem az lett volna ha lehet e csinalni upload/download sebeseg korlatozast (traffic shapert), arra hasznalnam hogy az email szerverre es a webserverre mindig a megfeleol savszeleseget tudjam biztositani. es termeszetesen a webbongeszesre kevesebbet inkabb ami marad :).
Koszi.

Kreálsz queue-t, kettőt, és eldöntöd, hogy a webszerverre érkező csomagoknak alapból legyen elsőbbsége (PRIQ), vagy fenntartasz nekik x sávszélt (CBQ).

--
Mortal Kombat's gimmikk was to replake all instankes of the letter 'C' with the letter 'K' (bekause of that feature, it was one of the first applikations to bekome part of KDE).