Autor Thema: IPF 3.4.32 - und dynamische Ports ???  (Gelesen 3750 mal)

badray

  • Gast
IPF 3.4.32 - und dynamische Ports ???
« am: 20. Juni 2006, 09:17:48 »
Hallöchen,

wie kann ich denn dem IP-Filter beibringen, dass er dynamische Ports aufmacht ?
Bsp. : Es bestehen 2 Server in einem Oracle-Cluster, diese kommunizieren über dynamische Ports ( High-Ports )

Natürlich blockt der IP-Filter diese Kommunikation weil er sie nicht kennt.

Gibt es eine Möglichkeit diese dynamischen Ports zuzulassen, bzw. das IP-Filter erkennt, dass diese Verbindung in der Zeit der Session erlaubt ist ?

Bin für jede Art von Hilfe dankbar

Gruß Ray

sonnenblen.de - Das unabhängige Sun User Forum

IPF 3.4.32 - und dynamische Ports ???
« am: 20. Juni 2006, 09:17:48 »

paraglider242

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #1 am: 20. Juni 2006, 10:07:40 »
Ich kann hier wieder nur fuer IPF 4.x reden, dort gibt es die Moeglichkeit, einen Proxy zu verwenden und einen bestimmten IP-Range zuzulassen.
Sie dir mal das deutsche HowTo an, da solltest du fuendig werden: http://coombs.anu.edu.au/~avalon/IP%20Filter%20Based%20Firewalls%20HOWTO-German.pdf

badray

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #2 am: 20. Juni 2006, 14:19:20 »
Ich kann hier wieder nur fuer IPF 4.x reden, dort gibt es die Moeglichkeit, einen Proxy zu verwenden und einen bestimmten IP-Range zuzulassen.
Sie dir mal das deutsche HowTo an, da solltest du fuendig werden: http://coombs.anu.edu.au/~avalon/IP%20Filter%20Based%20Firewalls%20HOWTO-German.pdf

Hallöchen,

Danke für die Info, löaut Sunfreeware ist die Version 3.4.32 wohl die letzte stabile Version, desahlb habe ich mir die 4.x gar nicht erst angetan.

Ist die auch in Ordnung ?

Gruß Ray

paraglider242

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #3 am: 20. Juni 2006, 14:32:06 »
Hi,

ich verwende schon seit Jahren 4.x und hab eigentlich keine Probleme damit;
AFAIK wird 3.x auch nicht mehr weiterentwickelt.

Falls du Binaries fuer 4.x brauchst, ich hab welche unter http://www.greenlemon.org/solaris-stuff/packages liegen. Du muesstest beide pkg's (ipf und pfil) installieren, sonst laeufts nicht...

badray

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #4 am: 21. Juni 2006, 07:49:00 »
aha ;-)

wurde mit Solaris 10 kompaliert.

Da wir leider immer noch Solaris 8 verwenden kann ich mir das wohl abschminken...........#

Vielen Dank für Deine Antworten

Gruß Ray

paraglider242

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #5 am: 21. Juni 2006, 19:39:02 »
Sollte eigentlich unter Solaris 8 genauso funktionieren;
Ansonsten kannst du es auch selbst kompilieren, funktioniert sowohl mit Sun Studio als auch mit gcc ohne Probleme.

badray

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #6 am: 23. Juni 2006, 12:00:29 »
so weit verstanden ;-)

Was ich noch nicht verstanden habe ist folgendes:

Gibte eine Möglichkeit mehrere Ports für ein und die selbe Verbindung freizugeben ???

Derzeit sieht das so aus:
pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port = 1950 flags S keep state
pass in log quick on eri0 proto tcp from 172.20.2.103 to 172.20.5.52 port = 1950 flags S keep state
pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port = 1960 flags S keep state
pass in log quick on eri0 proto tcp from 172.20.2.103 to 172.20.5.52 port = 1960 flags S keep state
pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port = 1970 flags S keep state
pass in log quick on eri0 proto tcp from 172.20.2.103 to 172.20.5.52 port = 1980 flags S keep state

geht das auch so ?

pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port = 1950 1960 1970 1980 flags S keep state

oder so ähnlich ;-)

Grüßle Ray



paraglider242

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #7 am: 24. Juni 2006, 14:35:40 »
geht das auch so ?

pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port = 1950 1960 1970 1980 flags S keep state

oder so ähnlich ;-)

Es gibt grundsätzlich die Möglichkeit, einen Range von Ports freizugeben, zB:
pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port 1950 >< 1980 flags S keep state

Davon sind dann aber alle Ports zwischen 1950 und 1980 betroffen...




badray

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #8 am: 27. Juni 2006, 12:52:57 »

Es gibt grundsätzlich die Möglichkeit, einen Range von Ports freizugeben, zB:
pass in log quick on eri0 proto tcp from 172.20.2.102 to 172.20.5.52 port 1950 >< 1980 flags S keep state

Davon sind dann aber alle Ports zwischen 1950 und 1980 betroffen...
[/quote]

und genau das darf nicht sein ...................................

Ist aber auch so in Ordnung, wie es momentan läuft, zumindest funktioniert es  :P :P :P

Danke für die Antworten


Gruß Ray

paraglider242

  • Gast
Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #9 am: 27. Juni 2006, 13:46:04 »
Mit pf von OpenBSD ginge das von dir gewuenschte - dort kannst du ein Marco mit den erlaubten Ports definieren.

Du koenntest den Wunsch aber mal auf der IPF-Mailingliste posten...

sonnenblen.de - Das unabhängige Sun User Forum

Re: IPF 3.4.32 - und dynamische Ports ???
« Antwort #9 am: 27. Juni 2006, 13:46:04 »