[Fli4l_dev] Direktes Referenzieren von anderen Firewall-Chains geht in 4.0 nicht mehr?
Harvey
hw234 at gmx.de
Fr Feb 8 09:52:35 CET 2019
Tag zusammen!
Ich bin gestern an dem Versuch gescheitert, einen fli4l 4.x aufzusetzen.
Meine Config scheint etwas 'speziell' zu sein...
Also: ich benutze OPT_OAC um meine Hardware-Zoo ( und meinen Sohn ;) )
bei zu extensiver Nutzung in die Grenzen zu weisen. ZB gibt es
Maschinen, die nur zu Update-Zwecken ins Internet dürfen usw. So weit,
so gewöhnlich.
Allerdings hat das OPT_OAC aus dem fli4l 3.10.x ein Problem mit
bestehenden Verbindungen. Diese werden nicht getrennt, wenn sie vor dem
Eintreten einer Bedingung aus OAC aufgebaut werden. Wenn man zB ein
Youtube-Video laufen hat, läuft es weiter, obwohl die Zeitgrenze für das
Abspielgerät längst erreicht ist.
Dies lässt sich nur verhindern, indem man die internen
Paketfilter-Regeln des Fli4l umstellt. Daher hatte ich in der base.txt
des 3er fli4l folgendes Konstrukt:
PF_FORWARD_ACCEPT_DEF='no' # do not use default rule set
PF_FORWARD_N='8'
PF_FORWARD_1='oac-chain'
PF_FORWARD_2='state:ESTABLISHED,RELATED ACCEPT'
PF_FORWARD_3='state:INVALID DROP'
PF_FORWARD_4='state:NEW 127.0.0.1 DROP BIDIRECTIONAL'
PF_FORWARD_5='pfwaccess-chain'
PF_FORWARD_6='ovpn-chain'
PF_FORWARD_7='tmpl:samba DROP' # drop samba traffic if it tries
# to leave the subnet
PF_FORWARD_8='IP_NET_1 ACCEPT' # accept everything else
Das bildet das default ruleset des fli4l nach, mit der Ausnahme, das die
OAC-Chain vor alle anderen gesetzt wird.
Somit werden auch bestehende Verbindungen getrennt, wenn die Kriterien
des OAC erfüllt sind. Funktioniert so klaglos.
Beim Umsetzen nach fli4l 4.x musste ich allerdings lernen, dass nicht
mehr alle Paketfilter-Chains direkt referenziert werden können.
Obiges Ruleset wirft bei der 4.x Version folgende Fehler:
var::slot_check: Value 'oac-chain' of variable 'PF_FORWARD_1' is not
properly typed: please refer to the documentationno errormessage
yetno errormessage yet
var::slot_check: Value 'ovpn-chain' of variable 'PF_FORWARD_6' is not
properly typed: please refer to the documentationno errormessage
yetno errormessage yet
Das gleiche gilt auch für FORWARD-Rules aus dem Openvpn-Paket.
Nun stellt sich mir die Frage: Absicht oder nicht?
Christoph?
Gruß
Harvey
Mehr Informationen über die Mailingliste Fli4l_dev