[fli4l] Firewall: ?==?utf-8?Q?Logik in Abfolge der Regeln
K. Dreier
usenetforum at gmx.net
Mi Feb 13 12:14:57 CET 2019
Hallo,
super, danke dir!
Ich habe dabei bemerkt, daß ein Eintrag wie
PF_FORWARD[]='tmpl:dns IP_NET_3 @client1 ACCEPT BIDIRECTIONAL'
dazu führt, daß man z.B. auch auf ein Webinterface von client1 kommt,
da dies leider nicht via zusätzlichem Port wie z.B. 8080 angesteuert
wird, sondern eben via 80/443. Dies jedenfalls dann, wenn ich am Ende
der Kette noch ein
PF_FORWARD[]='IP_NET_3 ACCEPT'
setze, da es ohne scheinbar kein "Internet" gibt. Ich habe also nun
insofern das ganze so aufgebaut:
PF_FORWARD[]='tmpl:http IP_NET_3 @client1 REJECT'
PF_FORWARD[]='tmpl:https IP_NET_3 @client1 REJECT'
PF_FORWARD[]='tmpl:dns IP_NET_3 @client1 ACCEPT BIDIRECTIONAL'
PF_FORWARD[]='IP_NET_3 ACCEPT'
Das scheint zu klappen, sprich Zugriff auf den DNS-Server auf client1
ist möglich (sprich er beantwortet FQDN-Anfrage korrekt) und Zugriff
auf das Webinterface nicht (wie gewünscht).
Allerdings funktioniert das ganze eben nur, wenn ich noch das IP_NET_3
ACCEPT setze. Was routet fli4l denn hier aus dem NET_3 dann zusätzlich
noch (wo hin)? Geht dann z.B. ein 80/443 noch ins WAN-Netz?
Anders gefragt: wenn NET_1 meine WAN-NIC ist, muß ich eine
Forward-Accept-Regel für meine internen Netze auf dieses NET_1 haben?
Dies wäre ja bei 'IP_NET_3 ACCEPT' der Fall, da darin enthalten. Ich
meine hier mal irgendwo gelesen zu haben, daß es eigentlich keine
Forward-Regeln ins Netz der WAN-NIC braucht?
Gruß
Klaus
Mehr Informationen über die Mailingliste Fli4L