Linearer Modus

tk1908 · 07.09.2015 18:59

Nabend,
ich versuche mich aktuell an ner Änderung meines Routing-Setups.

Aktuell:

DSL -> Fritzbox -> Homeserver -> Embedded Kiste mit pfsense -> Switch -> Rechner.

Dabei hängt der Homeserver mit dem /30er Netz an der pfsense an em0 (WAN-Port).

Netze:
Transportnetz (DMZ): 10.0.0.0/30
LAN: 10.24.0.0/16 (em1 an pfsense)
WLAN: 172.16.1.0/24 (ath0 an pfsense)

In der DMZ hängen nur die Router (Homeserer und pfsense).
Der Homeserver kommt ins Inet. Die pfsense Box kann den Homeserver pingen, kommt aber nicht raus. Regeln stehen INPUT auf DROP, aber Output sollte alles auf ACCEPT stehen.
DHCP auf Homeserver ist aus, Adressen sind statisch hinterlegt.

Jemand ne Idee?

Viele Grüße

tk

07.09.2015 19:10

Du musst Antworen anhand des States erkennen und rein lassen. Denn mit deiner "alles droppen" Regel droppst du auch die.

In iptables wäre die Lösung:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Schau mal, dass du bei pfSense Pakete dieser beiden States reinläßt, das sind die Antworten.

Drop ist übrigens unsauber, da es Timeouts verursacht. Hier solltest du zu Rejects wechseln. Ich weiß allerdings nicht, wo genau das bei pfSense ist.

tk1908 · 07.09.2015 19:30

(07.09.2015 19:10)mrshadowtux schrieb: Du musst Antworen anhand des States erkennen und rein lassen. Denn mit deiner "alles droppen" Regel droppst du auch die.

In iptables wäre die Lösung:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Schau mal, dass du bei pfSense Pakete dieser beiden States reinläßt, das sind die Antworten.

Drop ist übrigens unsauber, da es Timeouts verursacht. Hier solltest du zu Rejects wechseln. Ich weiß allerdings nicht, wo genau das bei pfSense ist.

Sollte er das nicht automatisch machen?

07.09.2015 19:34

Ich kenne deine Konfiguration nicht. Wenn du nur sagt "drop mal alles weg", macht er genau das. Du musst ihm dann schon sagen, dass er ne Ausnahme für Pakete mit bestimmten States macehn soll. Ist halt ne Stateful Firewall.

CHRiSNEW · 07.09.2015 19:53

Wie sehen denn die iptables-Regeln aus und was sagt ip r s auf den jeweiligen Routern?

IPv6 ist bei sowas angenehmer. Zumindest ist das meine Erfahrung. Man setzt die Routen und die jeweiligen Präfixe und it just werks™

07.09.2015 20:00

pfSense nutzt pf statt netfilter. Dem entsprechend gibt es kein iptables dort. Auch ip wird es dort nicht geben, ifconfig und route wären dort von Nöten, da FreeBSD.

Aber am besten ist, du zeigst einfach mal alle gesetzten Regeln und wir schauen weiter.

tk1908 · 07.09.2015 21:42

(07.09.2015 20:00)mrshadowtux schrieb: pfSense nutzt pf statt netfilter. Dem entsprechend gibt es kein iptables dort. Auch ip wird es dort nicht geben, ifconfig und route wären dort von Nöten, da FreeBSD.

Aber am besten ist, du zeigst einfach mal alle gesetzten Regeln und wir schauen weiter.

Ich hab jetz erstmal nen Workaround geschaffen. Homeserver stellt per DHCP das 10.0.0.0/30er Netz bereit. Mit ner statischen IP muss ichs die Tage nochmal ausprobieren.

***Alpha*** · 08.09.2015 07:17

(07.09.2015 19:10)mrshadowtux schrieb: Drop ist übrigens unsauber, da es Timeouts verursacht. Hier solltest du zu Rejects wechseln. Ich weiß allerdings nicht, wo genau das bei pfSense ist.

Unsauber ist relativ. Gerade im Router würde ich ins Internet garnicht antworten. Wozu? Ich würde ankommenden Müll einfach verwerfen, wenn ich daran kein weiteres Interesse habe. Ausnahme sehe ich hier nur bei ICMPs.

08.09.2015 09:54

Weil du sonst Timeouts verursachst. Das wirkt auf User verwirrend, da sie warten und warten und warten. Aus Sicht eines Angreifers sieht es dann so aus, als sei deine Kiste überlastet. Resultat kann dann sein, dass er es erneut probiert.

Besser ist hier Reject, was das Paket ebenso verwirft, ihm dann aber über ICMP unmissverständlich klar macht, dass er hier nicht weiter kommr ("Connection Refused", auch ein paar andere Fehler sind wählbar)

Gibt auch ne RFC, in der ganz klar gesagt wird, dass Reject der richtige Weg ist. Muss ich mal raussuchen.

***Alpha*** · 08.09.2015 10:00

(08.09.2015 09:54)mrshadowtux schrieb: Weil du sonst Timeouts verursachst. Das wirkt auf User verwirrend, da sie warten und warten und warten. Aus Sicht eines Angreifers sieht es dann so aus, als sei deine Kiste überlastet. Resultat kann dann sein, dass er es erneut probiert.

Besser ist hier Reject, was das Paket ebenso verwirft, ihm dann aber über ICMP unmissverständlich klar macht, dass er hier nicht weiter kommr ("Connection Refused", auch ein paar andere Fehler sind wählbar)

Gibt auch ne RFC, in der ganz klar gesagt wird, dass Reject der richtige Weg ist. Muss ich mal raussuchen.

Ich rede vom Home Router. Vor genau hat da der User Timeouts, auf welche er wartet? Wie ich sagte, für ICMP sehe ich das gerechtfertigt, dass man REJECT nutzt. Sonst nicht. Warum sollte mein Home Router auf irgendwelches Rauschen im Internet noch antworten? Das macht doch keinen Sinn.