[fli4l] Paktefilterregeln

[Harvey]

Hi Robert,

>> PF_FORWARD_1='tmpl:mail ACCEPT BIDIRECTIONAL'
>> PF_FORWARD_2='tmpl:smtp ACCEPT BIDIRECTIONAL'
> 
> Wenn du vor der established/related r4egel arbeitest hast du _KEINE_
> Statefull-Firewall mehr - zumindest so nicht. Und du würdest Absender-IP
> die von bekannten Mail-Ports kommen einfach freien Zugang in deine
> Wohnung gewähren. Ein durchaus großes Loch.

Deswegen frage ich ja hier, wo man sich damit auskennt. ;)

> Du kannst mal versuchen sowas hinzubekommen:
> 
> PF_FORWARD_1='state: ESTABLISHED,RELATED any:25 any ACCEPT
> PF_FORWARD_2='any any:25 ACCEPT'

Hab jetzt mal Folgendes zusammen geklopft:

# Regeln für imap und smtp
PF_FORWARD_1='state:ESTABLISHED,RELATED any:993 any ACCEPT'
PF_FORWARD_2='any any:993 ACCEPT'
PF_FORWARD_3='state:ESTABLISHED,RELATED any:587 any ACCEPT'
PF_FORWARD_4='any any:587 ACCEPT'
# Als nächstes OAC, damit bestehende Verbindungen bei Erreichen
# des Zeitlimits auch wirklich getrennt werden
PF_FORWARD_5='oac-chain'
# dann die 'normalen' defaults
PF_FORWARD_6='state:ESTABLISHED,RELATED ACCEPT'
PF_FORWARD_7='state:INVALID DROP'
PF_FORWARD_8='state:NEW 127.0.0.1 DROP BIDIRECTIONAL'
PF_FORWARD_9='pfwaccess-chain'
PF_FORWARD_10='ovpn-chain'
PF_FORWARD_11='tmpl:samba DROP'      # drop samba traffic if it tries
                                    # to leave the subnet
PF_FORWARD_12='IP_NET_1 ACCEPT'      # accept everything else

Damit kann ich jetzt von den gesperrten Rechner auch imap-Mails abholen.
Das Versenden mit smtp klappt allerdings nicht. Der SMTP server verlangt
definitv Port 587 zur Authentifizierung per STARTTLS. Könnte nur sein,
das die eigentlich Mail dann doch per Port 25 übertragen wird. Da muss
ich wohl den Provider mal löchern...

Gruß
Harvey