PF öppnar ej portar trots regel om detta...
Hej,
Har lite problem med brandväggen; PF under OpenBSD.
Har tidigare haft den med enbart 1 WAN och 1 LAN interface utan några servertjänster på insidan och det har funkat klockrent.
Nu har familjeförhållandena ändrats och nu är det 3 st interna interface varav på ett av de interna näten finns en webserver och en mailserver.
Jag vill nu då portforwarda från WAN-ifct till det interna nätet där servrarna finns. Samt öppna för trafik på port 80/TCP och 25/TCP.
Enligt min pf.conf nedan så är det exakt vad jag gjort men portarna öppnas inte och ingen trafik går igenom till servrarna. Vanlig surf och det jag tillåter utåt fungerar utan problem.
Scannar jag mig själv är varenda port STEALTH.
Tacksam för förslag och rättningar
MVH
/A
======================================================
# $OpenBSD: pf.conf,v 1.34 2007/02/24 19:30:59 millert Exp $
# 1. Macros
lo_if = "lo0"
ext_if = "rl0"
UNET_if = "vr0"
UNET_network = "x.x.x.x/x"
LNETTR_if = "rl1"
LNETTR_network = "x.x.x.x/x"
# PUBNET_if = "rl2"
# PUBNET_network "x.x.x.x/x"
internal_networks = "{ x.x.x.x/x, x.x.x.x/x }"
tcpservices = "{ 22, 21, 80, 443, 1863, 5190 }"
udpservices = "{ 53 }"
reserved_networks = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
# 2. Tables
# Tomt.
# 3. Options
set limit { states 50000, frags 50000 }
set block-policy drop
set optimization aggressive
# set loginterface $ext_if
set skip on $lo_if
# 4. Packet normalization
scrub in all
# 5. Queueing
# 6. Translation
nat on $ext_if from $internal_networks -> ($ext_if)
nat-anchor "ftp-proxy/*" # FTP proxy
rdr-anchor "ftp-proxy/*" # FTP proxy
rdr pass on $UNET_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021 #
FTP proxy
rdr pass on $LNETTR_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021 #
FTP proxy
# rdr pass on $PUBNET_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021
# FTP proxy
rdr on $ext_if proto tcp from any to ($ext_if) port 80 -> <server ip> port 80
rdr on $ext_if proto tcp from any to ($ext_if) port 25 -> <server ip> port 25
# 7. Filtering
anchor "ftp-proxy/*" # FTP proxy
block in all
block out all
antispoof for { $ext_if, $UNET_if }
pass in on $UNET_if proto tcp from $UNET_network to any port $tcpservices
pass in on $UNET_if proto udp from $UNET_network to any port $udpservices
pass in on $LNETTR_if proto tcp from $LNETTR_network to any port $tcpservices
pass in on $LNETTR_if proto udp from $LNETTR_network to any port $udpservices
pass in on $ext_if proto tcp from any to ($ext_if) port 80
pass in on $ext_if proto tcp from any to ($ext_if) port 25
pass out on $ext_if proto { tcp udp icmp } all keep state
# block in quick on $ext_if from $reserved_networks to any
# block out quick on $ext_if from any to $reserved_networks
block return in log quick on $UNET_if proto tcp from ! x.x.x.x to $UNET_if port 22
======================================================