[fli4l] Vers 3.10.1 ztwei Netze gegneinder abschotten

[Helmut Sieckmann]

Am 08.02.2015 um 23:15 schrieb Christoph Schulz:

Hallo,

>>  Netz A darf alles und Internet, Netz B darf nur Internet; auch kein
>> gegnseitiger Ping.
> 
> Was meinst du mit "auch kein gegenseitiger Ping"? Die Rechner in Netz B 
> können sich immer gegenseitig anpingen, das geht ja nicht über den Router.

Ping von B nach A soll nicht gehen
Ping von A nach B kann gehen

> 
> Außerdem schreibst du "Netz A darf alles": Heißt das, dass Rechner in Netz A 
> auch Rechner in Netz B anpingen dürfen? Oder ist das eine Ausnahme von 
> "alles"? Irgendwie passt das nicht ganz zusammen...
> 
Von Netz A nach  B kann Kommunikation sein ; muß aber nicht
>> Beide Netze haben einen eigenen Switch.
>> Ich habe in der Forward Regel ein IP_NET_1 IP_NET_" reject
>> bidirectional stehen, aber das ist wohl nicht ganz richtig...
> 
> Kannst du uns deine komplette IP_NET_*- und PF_*-Konfiguration hier zeigen?

Hier die Regeln, das wichtigste:

IP_NET_N='2'

IP_NET_1='192.168.100.254/24'
IP_NET_1_DEV='eth0'

IP_NET_2='192.168.200.254/24'
IP_NET_2_DEV='eth2'

IP_ROUTE_N='0'

PF_INPUT_1='tmpl:samba DROP NOLOG'
PF_INPUT_2='IP_NET_1 ACCEPT'
PF_INPUT_3='IP_NET_2 ACCEPT'

PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_2 ACCEPT'
PF_FORWARD_4='IP_NET_1 IP_NET_2 REJECT BIDIRECTIONAL'

PF_OUTPUT_N='0'

PF_POSTROUTING_1='if:any:pppoe MASQUERADE'

etliche Prerouting Regeln für das 100er Netz
zB Kameras

PF_USR_CHAIN_N='1'
   PF_USR_CHAIN_1_NAME='usr-in-icmp'


Gruß Helmut