Neue Antwort schreiben 
 
Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Kleines großes Routing-Problem
tk1908 Offline
Unixer

Beiträge: 7.343
Registriert seit: Apr 2009
Beitrag #1
Kleines großes Routing-Problem
Nabend,
ich versuche mich aktuell an ner Änderung meines Routing-Setups.

Aktuell:

DSL -> Fritzbox -> Homeserver -> Embedded Kiste mit pfsense -> Switch -> Rechner.

Dabei hängt der Homeserver mit dem /30er Netz an der pfsense an em0 (WAN-Port).

Netze:
Transportnetz (DMZ): 10.0.0.0/30
LAN: 10.24.0.0/16 (em1 an pfsense)
WLAN: 172.16.1.0/24 (ath0 an pfsense)

In der DMZ hängen nur die Router (Homeserer und pfsense).
Der Homeserver kommt ins Inet. Die pfsense Box kann den Homeserver pingen, kommt aber nicht raus. Regeln stehen INPUT auf DROP, aber Output sollte alles auf ACCEPT stehen.
DHCP auf Homeserver ist aus, Adressen sind statisch hinterlegt.

Jemand ne Idee?

Viele Grüße

tk

[Bild: Rz3JNLI.gif]
Meine Beiträge stehen unter der MIT-Lizenz:D

(09.04.2016 13:26)tk1908 schrieb:  externe HDD am Router? Klar ich tausch mein Auto gegen nen Tretroller mit Bremsklotz.
07.09.2015 18:59
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
mrshadowtux
Unregistered

 
Beitrag #2
RE: Kleines großes Routing-Problem
Du musst Antworen anhand des States erkennen und rein lassen. Denn mit deiner "alles droppen" Regel droppst du auch die.

In iptables wäre die Lösung:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Schau mal, dass du bei pfSense Pakete dieser beiden States reinläßt, das sind die Antworten.

Drop ist übrigens unsauber, da es Timeouts verursacht. Hier solltest du zu Rejects wechseln. Ich weiß allerdings nicht, wo genau das bei pfSense ist.
07.09.2015 19:10
Diese Nachricht in einer Antwort zitieren
tk1908 Offline
Unixer

Beiträge: 7.343
Registriert seit: Apr 2009
Beitrag #3
RE: Kleines großes Routing-Problem
(07.09.2015 19:10)mrshadowtux schrieb:  Du musst Antworen anhand des States erkennen und rein lassen. Denn mit deiner "alles droppen" Regel droppst du auch die.

In iptables wäre die Lösung:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Schau mal, dass du bei pfSense Pakete dieser beiden States reinläßt, das sind die Antworten.

Drop ist übrigens unsauber, da es Timeouts verursacht. Hier solltest du zu Rejects wechseln. Ich weiß allerdings nicht, wo genau das bei pfSense ist.

Sollte er das nicht automatisch machen?

[Bild: Rz3JNLI.gif]
Meine Beiträge stehen unter der MIT-Lizenz:D

(09.04.2016 13:26)tk1908 schrieb:  externe HDD am Router? Klar ich tausch mein Auto gegen nen Tretroller mit Bremsklotz.
(Dieser Beitrag wurde zuletzt bearbeitet: 07.09.2015 19:31 von tk1908.)
07.09.2015 19:30
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
mrshadowtux
Unregistered

 
Beitrag #4
RE: Kleines großes Routing-Problem
Ich kenne deine Konfiguration nicht. Wenn du nur sagt "drop mal alles weg", macht er genau das. Du musst ihm dann schon sagen, dass er ne Ausnahme für Pakete mit bestimmten States macehn soll. Ist halt ne Stateful Firewall.
07.09.2015 19:34
Diese Nachricht in einer Antwort zitieren
CHRiSNEW Offline
Internetblasensammler

Beiträge: 2.860
Registriert seit: Jul 2008
Beitrag #5
RE: Kleines großes Routing-Problem
Wie sehen denn die iptables-Regeln aus und was sagt ip r s auf den jeweiligen Routern?

IPv6 ist bei sowas angenehmer. Zumindest ist das meine Erfahrung. Man setzt die Routen und die jeweiligen Präfixe und it just werks™

07.09.2015 19:53
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
mrshadowtux
Unregistered

 
Beitrag #6
RE: Kleines großes Routing-Problem
pfSense nutzt pf statt netfilter. Dem entsprechend gibt es kein iptables dort. Auch ip wird es dort nicht geben, ifconfig und route wären dort von Nöten, da FreeBSD.

Aber am besten ist, du zeigst einfach mal alle gesetzten Regeln und wir schauen weiter.
07.09.2015 20:00
Diese Nachricht in einer Antwort zitieren
tk1908 Offline
Unixer

Beiträge: 7.343
Registriert seit: Apr 2009
Beitrag #7
RE: Kleines großes Routing-Problem
(07.09.2015 20:00)mrshadowtux schrieb:  pfSense nutzt pf statt netfilter. Dem entsprechend gibt es kein iptables dort. Auch ip wird es dort nicht geben, ifconfig und route wären dort von Nöten, da FreeBSD.

Aber am besten ist, du zeigst einfach mal alle gesetzten Regeln und wir schauen weiter.

Ich hab jetz erstmal nen Workaround geschaffen. Homeserver stellt per DHCP das 10.0.0.0/30er Netz bereit. Mit ner statischen IP muss ichs die Tage nochmal ausprobieren.

[Bild: Rz3JNLI.gif]
Meine Beiträge stehen unter der MIT-Lizenz:D

(09.04.2016 13:26)tk1908 schrieb:  externe HDD am Router? Klar ich tausch mein Auto gegen nen Tretroller mit Bremsklotz.
07.09.2015 21:42
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 16.337
Registriert seit: Jan 2009
Beitrag #8
RE: Kleines großes Routing-Problem
(07.09.2015 19:10)mrshadowtux schrieb:  Drop ist übrigens unsauber, da es Timeouts verursacht. Hier solltest du zu Rejects wechseln. Ich weiß allerdings nicht, wo genau das bei pfSense ist.

Unsauber ist relativ. Gerade im Router würde ich ins Internet garnicht antworten. Wozu? Ich würde ankommenden Müll einfach verwerfen, wenn ich daran kein weiteres Interesse habe. Ausnahme sehe ich hier nur bei ICMPs.

Mark IV Style Motherfucker!
08.09.2015 07:17
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
mrshadowtux
Unregistered

 
Beitrag #9
RE: Kleines großes Routing-Problem
Weil du sonst Timeouts verursachst. Das wirkt auf User verwirrend, da sie warten und warten und warten. Aus Sicht eines Angreifers sieht es dann so aus, als sei deine Kiste überlastet. Resultat kann dann sein, dass er es erneut probiert.

Besser ist hier Reject, was das Paket ebenso verwirft, ihm dann aber über ICMP unmissverständlich klar macht, dass er hier nicht weiter kommr ("Connection Refused", auch ein paar andere Fehler sind wählbar)

Gibt auch ne RFC, in der ganz klar gesagt wird, dass Reject der richtige Weg ist. Muss ich mal raussuchen.
08.09.2015 09:54
Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 16.337
Registriert seit: Jan 2009
Beitrag #10
RE: Kleines großes Routing-Problem
(08.09.2015 09:54)mrshadowtux schrieb:  Weil du sonst Timeouts verursachst. Das wirkt auf User verwirrend, da sie warten und warten und warten. Aus Sicht eines Angreifers sieht es dann so aus, als sei deine Kiste überlastet. Resultat kann dann sein, dass er es erneut probiert.

Besser ist hier Reject, was das Paket ebenso verwirft, ihm dann aber über ICMP unmissverständlich klar macht, dass er hier nicht weiter kommr ("Connection Refused", auch ein paar andere Fehler sind wählbar)

Gibt auch ne RFC, in der ganz klar gesagt wird, dass Reject der richtige Weg ist. Muss ich mal raussuchen.

Ich rede vom Home Router. Vor genau hat da der User Timeouts, auf welche er wartet? Wie ich sagte, für ICMP sehe ich das gerechtfertigt, dass man REJECT nutzt. Sonst nicht. Warum sollte mein Home Router auf irgendwelches Rauschen im Internet noch antworten? Das macht doch keinen Sinn.

Mark IV Style Motherfucker!
(Dieser Beitrag wurde zuletzt bearbeitet: 08.09.2015 10:00 von Alpha.)
08.09.2015 10:00
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Neue Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste