Det var ett tag sen man skrev nåt här på swec, men nu börjar intresset komma tillbaks.
Orkar ni inte läsa allt kan ni hoppa ner till slutet och läsa den sista raden ("så: ..."), men jag tycker om att överförklara, så att alla ska fatta och förstå, samt komma med förslag.
Efter att ha fått två abusemail från telia så kände jag att det var dags att ta tag i problemet. De säger att jag gör "obehöriga anrop" till nån nisses dator ute i den stora världen. Möjligt. Har inte riktigt hållt koll. Därför har jag nu installerat om min gw/fw som kör OpenBSD med pf, och tänkte konfa den lite bättre. Eftersom jag inte brytt mig om det speciellt mycket det senaste året ungefär, och jag inte visste mycket om det innan så tänkte jag lära mig det ordentligt den här gången. Jag har ett jättefint upplägg, tycker jag, som passar mig och borde hindra att liknande saker händer igen:
Jag har fyra datorer:
Dator 1: min gw/fw, agerar endast gw/fw, inga services.
Dator 2: Min webserver, kör även ett par eggdrops och annan skit, troligtvis den som blivit haxxad och kör "obehöriga anrop".
Dator 3: Min workstation. Surfa, tanka och spela på den, inga services.
Dator 4: Min laptop, workstation 2 i princip.
Jag vill ha följande setup:
Dator 1 ska inte kommas åt från nätet. Ingen ssh, inga services. Inga problem där, det kan jag göra.
Dator 2 har web och ssh öppet(ssh på en annan port än standard), om man haxxar den ska man inte se dator 3 och dator 4, helst inte dator 1 heller om det går. Dessutom vill jag inte att den ska få göra vad som helst utåt mot internet, förutom att skicka tillbaka websidorna som folk requestar. Just nu antar jag att någon haxxat sig in på någons konto och kör något fult, eftersom jag inte blockerar något inifrån. Kommer man in i det interna nätverket kan man göra allt ut mot internet. Det vill jag förhindra.
Dator 3 och dator 4 får köra BT, DC och skicka/ta emot via MSN samt surfa och komma åt FTP:s.
Det är säkert jätterörigt för er, men i mitt huvud låter det jättebra.
Mitt problem: jag hittar inga howtos, exempel eller liknande som går igenom hur man ska göra detta. Alla howtos jag hittar har en "utifrån får man inte göra så mycket, men inifrån så litar vi på våra användare, de får göra vad de vill". Och det gillar jag inte.
Så: finns det någon howto som visar hur man gör med openbsd:s pf(och några andra verktyg?) för att begränsa vad folk får göra i det interna nätverket, och även utifrån, såklart?