[fli4l] PF_INPUT -?==?utf-8?Q? ein paar Verständnisfrag?==?utf-8?Q?en

Martin Dresbach martin.dresbach at arcor.de
Sa Jan 31 10:53:12 CET 2015 

Hallo Klaus.

Peter hat natürlich absolut Recht mit seiner Erklärung. Ich bin jedoch
mal so frei, dir diese Regeln mit Erklärungen nochmal zusammenzufassen.
Zu beachten ist dabei jedoch, dass du diese dann bei (Wieder-)Verwendung
von Squid sicherlich nochmal selbst etwas anpassen musst...

PF_INPUT_N='3'
PF_INPUT_1='IP_NET_1 ACCEPT'
PF_INPUT_2='prot:tcp xxx.xxx.xxx.xxx 22 ACCEPT'
PF_INPUT_3='tmpl:samba DROP NOLOG'

PF_FORWARD_N='6'
PF_FORWARD_1='IP_NET_1 IP_NET_3 ACCEPT'
PF_FORWARD_2='xxx.xxx.xxx.xxx IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_3 IP_NET_1 REJECT'
PF_FORWARD_4='tmpl:samba DROP'
PF_FORWARD_5='IP_NET_1 ACCEPT'
PF_FORWARD_6='IP_NET_3 ACCEPT'

PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 IP_NET_3 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
PF_POSTROUTING_3='IP_NET_3 MASQUERADE'

Zur Erklärung, da ja meist auch andere Wege zum Ziel führen können:

INPUT-Chain
Regel 1: Zugriff auf alle Ports am Fli von jedem NET_1 Client
Regel 2: Zugriff auf SSH am Fli von NET_3 Client xxx.xxx.xxx.xxx
Regel 3: KEIN NET_3 Client hat Zugriff auf die Samba-Ports am Fli. Kein
Logging.

FORWARD-Chain
Regel 1: Uneingeschränkte Kommunikation von NET_1 ins NET_3
Regel 2: Uneingeschränkte Kommunikation von Client xxx.xxx.xxx.xxx aus
NET_3 ins NET_1
Regel 3: Keine Weiterleitung Kommunikation von NET_3 ins NET_1, mit
Ausnahme von Client xxx.xxx.xxx.xxx (durch Regel 2)
Regel 4: Keine Weiterleitung von Samba-Paketen ins WAN. Keine
Weiterleitung von Samba-Paketen von NET_3 in NET_1, ausser für Client
xxx.xxx.xxx.xxx (durch Regel 2)
Regel 5: WAN-Zugriff für alle NET_1 Clients (Streng genommen Zugriff
auf ALLE anderen Subnetze)
Regel 6: WAN-Zugriff für alle NET_3 Clients (Streng genommen Zugriff
auf ALLE anderen Subnetze ausser auf NET_1 (durch Regel 3)

POSTROUTING-Chain
Regel 1: Keine Änderung der Quell-IP bei Kommunikation zwischen NET_1
und NET_3
Regel 2: Masquerading beim Verlassen des NET_1 (also Richtung WAN)
Regel 3: Masquerading beim Verlassen des NET_3 (also Richtung WAN)

Übrigens: Solltest du beim Testen der Shares (vergeblich) darauf
warten, dass diese in der Windows-Netzwerkumgebung auftauchen, liegt das
nicht an den Regeln, sondern eher am fehlenden Broadcast zwischen den
Subnetzen. Solltest du diesen benötigen schau dir mal OPT_BCRELAY aus
dem Paket "Advanced_Networking" an. Ein Zugriff auf die Shares mittels
\\xxx.xxx.xxx.xxx bzw. \\CLIENT_NAME sollte allerdings immer gehen.
Natürlich vorausgesetzt deine FW-Regeln passen... :)

Vielleicht hilft dir das als Startpunkt ja erst einmal weiter.

Hoffe, ich habe mir heute nicht wieder einen Bock geschossen, bin noch
beim ersten Kaffee... :)

Liebe Grüße,
Martin

Mehr Informationen über die Mailingliste Fli4L