[fli4l] FLI als Interner Router & mehr.

Herbert Demmel programmer at demmel-m.de
Mo Apr 8 02:20:45 CEST 2024 

Kay Martinen <usenet at martinen.de> wrote in
news:hkf0ek-gd1.ln1 at news.martinen.de: 

> Hallo
> 
> Seit November kein Traffic hier? Ich hoffe es liest noch jemand mit.
> 
es sind sicher noch ein paar sporadische Leser hier, aber vermutlich
kaum noch (aktive) Entwickler. 

> Jetzt möchte ich den für folgendes Konfigurieren und hoffe das jemand 
> ähnliches schon machte und ggf. Tips geben kann.

Von mir gibt es leider keine von Erfahrung untermauerten Tips -
höchstens eine Idee. 

> 1. LAN-LAN Router zwischen meinem Normalen LAN und 1-2 Abgetrennten 
> LAN-Segmenten, ggf. ohne Masquerading aber mit Firewall wg. OAC plus 
> dhcp für diese beiden Segmente.

OAC soll also den Internet-Zugang für das Legacy-Segment und das
Management-LAN steuern. Mit dem normalen LAN hat OAC also nichts zu 
tun. 

> 6. Der FLI soll im Normalen LAN mit einer Festen IP stehen und ggf.
> auch Gateway zu den beiden anderen LANs sein. Antwortpakete sollen
> natürlich dann auch zurück kommen können in das Quellnetz. Kollidiert
> das mit OAC? 

...

> Defaultroute auf WAN-GW (Ein OPN das Masquerading zum WAN-Router
> macht) WebUI, ssh, telmond u.a. (updates) erreichbar

Steht OPN für OPNsense?

Wenn ja: die OPNsense kennt ein API, man kann also einzelne Regeln von
außen verändern. So eine Regel könnte analog zu OAC als Defaultwert in
der OPNsense-Oberfläche definiert werden. z.B. "OS/2-PC darf nicht ins
Internet; Regel ist aktiv". Von außen kann man die Regel deaktivieren
und nach getaner Arbeit wieder aktivieren. Für den API-Zugriff kann man
mit z.B. curl-Aufrufe verwenden und quasi OAC nachbauen. 


zu Punkt 6: das mit den Antwortpakten kann ich nicht abschätzen. Aber Du
könntest auf dem Fli4L mit putty nachschauen, welche Paketfilterregeln
aktiv sind (WIMRE: netstat -tulpe). Dann schaltest Du mit OAC den
Internet-Zugriff für den OS/2-PC ein und schaust welche
Paketfilterregeln jetzt aktiv sind. 

Der Vergleich der beiden netstat-Ausgaben sollte die Information liefern
was OAC am Paketfilter ändert. 

Hoffentlich helfen die zwei Ideen weiter. Auch ich möchte nicht auf OAC
verzichten, aber irgendwann wird mir der fli4l als alleiniger Router
nicht mehr reichen. Leider habe ich nicht wirklich Zeit für die
Umstellung. 

Herbert

Mehr Informationen über die Mailingliste Fli4L