[Fli4l_dev] Verwendung nicht definierter Hostnamen

[Peter Schiefer]

Hallo Herbert,

Am 13 Sep 2014 09:16:42 GMT schrieb Herbert Demmel:

> ich verwende gerne wegen Übersichtlichkeit und Lesbarkeit die @hostname 
> Schreibweise.

> Jetzt ist mir aufgefallen, dass der fli4l-Build einen in der 
> dns_dhcp.txt fehlenden (oder falsch geschrieben) Hostnamen nicht mehr 
> anmeckert.

das kommt daher, da ja nun auch via @name in den Paketfilterregeln nicht in
der dns_dhcp.txt definierte Host für dynamische Firewallregeln defieniert
werden können - Stchwort ipset.
Dies ermöglich z.B. das man einem Subnetz das nicht ins INET darf trotzdem
erlaubt Windows-Updates auds dem Internet zu laden.
PF_FORWARD_x_='IP_NET_x @update.microsoft.com ACCEPT'

Durch deine Meldung werden wir nun über eine entsprechende Lösung
nachdenken und diese umsetzen.


> PF_INPUT_3='@KeinPC ACCEPT' // absichtlich falsch geschrieben
> HOST_2_NAME='meinPC'
> OPT_DNS='yes'
> => ebenfalls Übersetzung ohne Fehlermeldung

und das ipset-Binary landet auf dem fli4l

> PF_INPUT_3='@meinPC ACCEPT'
> HOST_2_NAME='meinPC'
> #OPT_DNS='yes'
> => Fehlermeldung: Error: Host 'meinPC' referenced by 
> PF_INPUT_3='@meinPC ACCEPT' requires you to activate OPT_DNS

ipset würde auf dem fli4l lsanden, benötig aber den dnsserver um den Namen
in eine oder mehrere IP(s) übersetzen zu können.

> Hab ich irgendwas nicht richtig verstanden oder ein Fehlerlein gefunden?

einen Fehler aus meiner Sicht!

> Die Doku erwähnt unter 3.10.2 die Schreibweise @name als gültige 
> Möglichkeit. Kurz vorher steht, dass man bei aktiviertem OPT_DNS auch 
> externe Hosts über ihren Namen referenzieren kann.

stimmt ja auch so - mein Lösungsansatz wäre für extern eine andere
Schreibweise zu nutzen.

Gruß Peter