[Fli4l_dev] bootzeit

[Holger Bruenjes]

Hallo Alex

Am 2018-08-01 um 09:02 schrieb Alexander Dahl:

>>> hast Du den im Paketfilter für das interne Netzt (vermutlich IP_NET_1 im
>>> INPUT Bereich den Zugriff erlaubt?
>>
>> hmm ja, aber was hat das mit ssh zu tun?
> 
> Die INPUT chain regelt Zugriffe auf den Router selbst, keine gerouteten
> Pakete. D.h. alle Dienste, die auf einem Port des Routers lauschen,
> müssen über INPUT im Paketfilter bearbeitet werden. Wenn für INPUT der
> default DROP oder REJECT sein sollte, musst Du den ssh-Port da
> freigeben.

Das ist nun in meinen Augen eine Koppelung von Abhaengigkeiten. Wenn
SSH auf Port 22 erlaubt werden soll, kann das doch nicht von einer
zusaetzlichen INPUT Regel abhaengig sein. bzw. ist nicht in der Doku
erklaert, dass dafuer weitere Parameter in einer anderen Datei
geschaltet werden muessen.


>> aber im default ist das '#'
>>
>> #PF_INPUT[]='IP_NET_1 ACCEPT'
>>
>> das heisst doch, es ist optional
> 
> Nein, es heißt, dass es nicht aktiv ist. Die Geschichte mit optional
> gilt nur für OPT_FOO=yes/no. Effektiv scheinst Du den fli4l für Zugriffe
> aus dem internen Netz gesperrt zu haben, eben über die INPUT chain.

hmm, dass ist Insider Wissen, siehe

http://www.fli4l.de/fileadmin/doc/deutsch/html/fli4l-3.10.13/node6.html

[...
 Man sieht hier auch sehr schön, dass ein einfacher DSL-Router mit
wenigen Handgriffen konfiguriert ist, auch wenn einen die
Konfigurationsdateien auf den ersten Blick mit ihrer Fülle von
Einstellungsmöglichkeiten erschlagen.
...]

es ist da nicht abgebildet, dass an der default PF_ Schicht eine
Aenderung erfolgt ist.

das steht in der 4er Version genauso drin
fli4l-4.0.0-r53236-testing/doc/deutsch/html/base/node6.html

Mag sein, dass mir nach all den Jahren, ohne den fli neu
aufzusetzen, das Verstaendnis fuer die Zusammanhaenge fehlt.
Alle die die Kiste 10mal am Tag zum testen neu aufsetzen haben da
ein ganz anderes Wissen.

Holger