[fli4l] Frage zu F?==?utf-8?Q?li4l als Ethernet-Router

[K. Dreier]

Hallo,

du hast doch mindestens zwei IP_NET_x. Das IP_NET_1 ist (normalerweise)
das Netz, an dem die NIC hängt, die ins WAN geht, bei dir also jene zum
Kabel-Modem.
IP_NET_2 ist dann das (erste) interne LAN an der zweiten NIC, die z.B.
zu einem Switch geht.
Wenn nun PF_INPUT_x='IP_NET_1 ACCEPT' steht, dann hat das Kabelmodem und
damit das gesamte "Internet" freien Zugang zum fli4l und damit, da der
das ja weiterroutet, in dein gesamtes (eigentlich rein) internes LAN.
Dumme Idee. ;-)
Da der default "reject" ist, hat es insofern eigentlich auch überhaupt
keine Einträge zu NET_1 in der Firewall, da dort ja nix rein soll (was
nicht vorher via "established"-Regel auch raus kam). Insofern ist
standardmässig der Eintrag für accept dort auch auskommentiert.
Allerdings sollte der meiner Meinung nach da schon gar nicht erst drin
stehen - das ist für normale User eine böse Falle... (im Sinne von "es
geht nicht, ich aktiviere das mal und oh, super, es geht").

Also: weg mit PF_INPUT_1='IP_NET_1 ACCEPT' bzw. auskommentieren. Ich
würde es löschen.

Gruß
Klaus