Again ipfw

09/12/2010 - 16:20 von Basar Alabay | Report spam
Moins,

vor làngerem hatte ich hier ja mit tatkràftiger Unterstützung einiger
(vor allem Stefans) eine ipfw Konfiguration für das MacBook entworfen.

Zu Hause klappt das auch wunderbar. Nur, wenn man nun im Uninetz hàngt,
làuft es nicht :-/

Meine Konfiguration:

add 01000 allow ip from any to any via lo*
add 01100 allow icmp from any to any
add 01300 deny log ip from 127.0.0.0/8 to any in
add 01400 deny log ip from any to 127.0.0.0/8 in
add 01600 allow tcp from any to any frag
add 10000 check-state
add 10100 reset tcp from any to any established in
add 10200 allow tcp from me to any setup keep-state
add 10300 allow udp from me to any keep-state
add 10400 allow udp from any 67 to any dst-port 68 in keep-state
add 25200 allow tcp from 192.168.1.0/24 to any setup in keep-state
add 25300 allow udp from 192.168.1.0/24 to any in keep-state
add 65100 deny ip from any to any
add 65535 allow ip from any to any

Jetzt habe ich halt das Problem, daß in der Uni, je nach Zugang (làuft
grundsàtzlich via IPsec) folgende Netze greifen könnten:

Mögliche WLAN Netze sind:
10.201.0.0/16
10.202.0.0/16
10.203.0.0/16
10.204.0.0/16
10.205.0.0/16
10.206.0.0/16
10.207.0.0/16
10.208.0.0/16
10.102.0.0/16
10.108.0.0/16

Mögliche VPN Netze nach dem Verbinden aus dem WLAN heraus:
132.230.190.0/24
132.230.191.0/24
132.230.192.0/24
132.230.193.0/24

Ächz. Un'nu?

Gibt es da nicht irgendwie eine “sich logisch anpassende³ flexible
Regel, mit der man an Stelle 25200 und 25300 praktisch das vorgefundene
Netz “annehmen³ kann?

Wenn ich bei einem Bekannten wàre, würde sein Netz ja wieder anders
sein. Kann man das “verallgemeinern³?

Gruß,
B. Alabay
 

Lesen sie die antworten

#1 Stefan Nobis
09/12/2010 - 17:27 | Warnen spam
Basar Alabay writes:

Gibt es da nicht irgendwie eine “sich logisch anpassende³ flexible
Regel, mit der man an Stelle 25200 und 25300 praktisch das
vorgefundene Netz “annehmen³ kann?



IIRC müsste das Schlüsselwort "me" helfen, also sowas wie

add 25200 allow tcp from me to any setup in keep-state

Stefan.

Ähnliche fragen