[BSD] ipfilter+https

[Kovacs Sandor]

Sziasztok!

A kovetkezo lenne a problema, amiben a segitsegeteket kernem. Van egy 
Freebsd 4.10-RELEASE-p5 tuzfalam ipfilterrel, ami tokeletesen ellatja a 
dolgat, uzemel rajta squid proxy, forgalommeres, egyes IP-cimekrol 
kulonbozo portok elerhetoek rajta (pl. VNC es hasonlo celokbol), stb. 
Fix IP cimmel rendelkezik, mogotte pedig egy belso halozat van. A 
problemam az lenne, hogy felmerult az igeny, hogy a belso halozaton 
uzmelo https szervert el kene erni az internetrol is kulonbozo 
IP-cimekrol. Gondoltam semmi gond, vegulis VNC-vel mar csinaltam ilyet 
be is irtam a megfelelo sorokat az ipf.rules es az ipnat.rules 
file-jaimba, amikor is ert a meglepetes, hogy nem megy a dolog. Az ipnat 
meg megcsinalja a cimforditast (az ipmon szerint), a kezdo csomagot is 
elkuldi es innen nincs tovabb, timeouttal eldobja a kapcsolatot. 
Ugyanakkor VNC-vel gyakorlatilag ugyanez a szabaly gond nelkul megy. Itt 
vannak a vonatkozo sorok:

ipnat.rules:
rdr bge1 0.0.0.0/0 port 443 -> 10.1.20.3 port 443 tcpudp

ipf.rules:
pass in quick on bge1 proto tcp from any to any port = 443 flags S keep 
state keep frags

Az ipfilter nincs beleforgatva a kernelbe, rc.conf-bol inditom igy:
ipfilter_enable="YES"
ipnat_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipmon_enable="YES"
ipmon_flags="-Dv -P /var/run/ipmon.pid /var/log/firewall.log"
ipfs_enable="YES"

A sysctl.conf-ban van meg ket ilyen sorom:

kern.ipc.somaxconn=1024         #default=128
kern.ipc.nmbclusters=32768      #default=4560

Mar mindent megprobaltam, ami eszembe jutott (pl. a tuzfal kulso cimen a 
60000-es portrol iranyitom at a belso gep 443-as portjara), de kifogytam 
az otletekbol. Ha barmi egyeb informacio szukseges lenne, akkor kuldom 
azt is. Elore is kosz a segitseget!

Shan