pf

Sto provando a scrivere qualche libro/manuale, uno su exim4 e uno su PF (con qualche richiamo di OpenBSD). Per il momento sono in versione beta, ma se qualcuno vuole contribuire con correzioni o suggerimenti, ben venga!!! Una volta terminati pensavo di farli pubblicare da lulu.com.
Tags:

ftp proxy può esserci utile se abbiamo una rete nattata che deve accedere a server ftp sparsi in giro per il mondo, senza sapere precisamente quali siano i loro ip.

inseriamo quindi una riga in /etc/inetd.conf per far partire ftp-proxy in modalità "nat"

le modifiche da fare al file di configurazione di squid sono minime:

aggiungiamo queste regole a pf:

Tags:

Per lasciar passare le connessioni ssh, pf dovrebbe avere una regola simile a questa:

pass in quick on $external inet proto tcp from any to any port ssh flags S/SA keep state

per bloccare i bruteforce è sufficiente modificarla in:

Questo appunto ho lo scopo di spiegare in breve il processo di configurazione per il nuovo ftp-proxy incluso dalla release 3.9 di OpenBSD.
L'uso del proxy-ftp puo' essere evitato se il demone (vsftpd, ftpzilla-server) che andiamo a pubblicare permette di impostare l'ip di risposta passiva.

Ipotizziamo che le nostre due connessioni ad internet siano WAN e OPT1, già opportunamente configurate.
Ora dobbiamo configurare il NAT, ed abilitare il nat in uscita avanzato (advanced outbound NAT);
andiamo alla scheda Nat -> Outbount ed attiviamo il checkbox "Enable advanced outbound NAT".
Tags:

In PF (bsd packet filter) il nat address pool viene usato per mascherare in uscita con 2 o più indirizzi:

nat on $ext_if inet from any to any -> { 192.0.2.5, 192.0.2.10 }
ma per fare in modo che un client venga sempre mappato con lo stesso indirizzo:
nat on $ext_if inet from any to any -> 192.0.2.4/31 source-hash

 

Tags:
table <firewall> const { self }