[fli4l] Konfiguration - Zu?==?utf-8?Q?griff auf verschiedene Netze

Peter Schiefer newsgroup at lan4me.de
Fr Okt 30 19:04:02 CET 2015


Hallo Tom,

Am Fri, 30 Oct 2015 16:54:16 +0100 schrieb TomW:

> Ich habe einen Fli4l-Router der 3 Netze hat. Privat, Gäste, Fritzbox.
> Am Netz Fritzbox hängt nur eine Fritzbox für den Internetzugang. Da
> ist alles OK.

mein fli4l hat 4 interne Netze ;)

> Jetzt möchte ich vom Netz Privat auf das Netz Gäste zugreifen können,
> aber nur auf die IP-Adressen 192.x.x.102 und 192.x.x.103.
> Die Kommunikation vom Netz Gäste zum Netz Privat soll nicht möglich
> sein!

> PF_FORWARD_N='12'
> PF_FORWARD_1='tmpl:samba DROP'      			# drop samba traffic if it tries
> to leave the subnet

dies Regel würde ich eventuell weiter nach hinten (grosse Zahl) schieben,
falls Du doch mal zwischen den Netzen mit SMB (Windows-Freigaben)
kommunikation zulassen willst.

> PF_FORWARD_2='4662 DROP'      				# Port 4662 (emule) abweisen
> PF_FORWARD_3='4672 DROP'      				# Port 4672 (emule) abweisen
> PF_FORWARD_4='6881-6890 DROP'      			# Port 6881-6890 (bittorent)
> abweisen
> PF_FORWARD_5='6902-6968 DROP'      			# Port 6902-6968 (bittorent)
> abweisen
> PF_FORWARD_6='6970-6999 DROP'      			# Port 6970-6999 (bittorent)
> abweisen	
> PF_FORWARD_7='IP_NET_2 192.x.xx.1 DROP' 		# Kommunikation von dem Netz
> 'gaeste' zur Fritzbox ist NICHT erlaubt

passt

> PF_FORWARD_8='IP_NET_2 192.x.x.102 ACCEPT'		# Netz 'privat' auf den AP1
> im Netz 'gaeste' zugreifen

hier fehlt mir in der Regel das BIDIRECTIONAL damit auch Antwortpakete des
AccessPoint zurück gehen dürfen

> PF_FORWARD_9='IP_NET_1 192.x.x.103 ACCEPT'		# Netz 'privat' auf den AP2
> im Netz 'gaeste' zugreifen
hier fehlt mir in der Regel das BIDIRECTIONAL damit auch Antwortpakete des
AccessPoint zurück gehen dürfen

> PF_FORWARD_10='IP_NET_2 IP_NET_1 DROP'   		# Restliche Kommunikation
> zwischen dem Netz 'gaeste' dem Netz 'privat' ist NICHT erlaubt

> PF_FORWARD_11='IP_NET_1 ACCEPT'				# Netz 'privat' darf ins Internet

in der  Regel steht aber nix von Internet sonder überall hin, was vorher
nicht durch entsprechende Regeln verboten wurde

> PF_FORWARD_12='IP_NET_2 ACCEPT'				# Netz 'gaeste' darf ins Internet

in der  Regel steht aber nix von Internet sonder überall hin, was vorher
nicht durch entsprechende Regeln verboten wurde
> [/code]

> Aber das funktioniert nicht.
> Ist die Regel hier überhaupt an der richtigen Stelle oder gehört diese
> in den INPUT-Zweig?

Es fehlen die korrospondierenden Regeln im PF_POSTROUTING wo du definerst,
ob die in FORWARD zugelassen Regel dann am Ende ein Routing (ACCEPT) oder
ein Maskieren wird (MASQ)

In INPUT werden nur Regeln benötigt, wenn von einem Netz auf einen Dienst
der auf dem Router läuft zugegriffen werden soll - z.B. ssh oder ntp - für
dhcp und dns (in abhängigkeit von DNS_LISTEN) werden automatisch Regeln in
der INPUT-Chain generiert.

> 
> Gruß Tom

Gruß Peter


Mehr Informationen über die Mailingliste Fli4L