[Fli4l_dev] Firewall-Regeln korrekt umgesetzt?

Thomas Grunenberg tho_gru at gmx.de
Di Apr 6 18:47:38 CEST 2021 

Hi Rolf,

Am 05.04.2021 um 22:06 schrieb Rolf Heinrichs:
> Schöne Ostern allerseits (auch wenns fast vorbei ist)!
> 
> Hab meine alte APU1 aus dem Schrank geholt und von 3.10.4 auf 3.10.19 
> hochgezogen. Die APU war vor Jahren auf meinem DSL6000 mit einer 
> ISDN-Anlage der Router, hatte damals ein Speedport rein als Modem 
> betrieben. Beim Hochziehen hab ich das DSL-Paket weggelassen und 
> versucht das Teil als reinen Ethernetrouter zu konfigurieren. Von da aus 
> hab ich dann auf die V4 60066 hochgerüstet. Soweit läuft das Teil. Ich 
> hab bei dem Prozess ein paar Regeln verbiegen müssen damit NAT und DNS 
> funktionieren. Diese Regel-Änderungen/Anpassungen möchte ich durch 
> Kundige überprüfen lassen.
> 
> Hardwaresetup:
> TCOM-DSL 50MBit --> Fritzbox (10.1.1.1) --> (10.1.1.2) APU2 mit fli4l 
> (10.2.2.1) --> Switch --> internes Hausnetz (10.2.2.x/24)
>                                         |
>                                         --> (10.1.1.3, Netz2) APU1 mit 
> fli4l 4.60066 (10.3.3.1, Netz1) --> PC (10.3.3.2)
> 
Oben schreibst Du, Du bist auf die Version 3.10.19 mit Deiner APU1 
umgestiegen, in Deiner "Grafik" sieht es eher nach Version 4... aus.
> ...
> # Paketfilter
> PF_INPUT[]='IP_NET_1 ACCEPT'            # Damit ich überhaupt das 
> interne Netz bedienen kann
> 
> Sach a mal, müsste da die Klammer nicht so aussehen: PF_INPUT[1]? Wird 
> jedenfalls beim Bauen nicht angemeckert. Warum geht das?
Wenn Du die Version 4 nutzt, geht das, da die neue Schreibweise 
unterstützt wird:
# Anstatt
PF_INPUT_N='1'
PF_INPUT[1]='IP_NET_1 ACCEPT'
# kannst Du einfach
PF_INPUT[]='IP_NET_1 ACCEPT'
# schreiben. Das wird dann vom Build-Tool in die alte Schreibweise
# übersetzt.
> 
> ...
> 
> An dieser Stelle tut sich eine weitere Fragestellung auf. In der Fritte 
> steht dieselbe Adresse für DNS bereits drin. Warum funktioniert DNS 
> nicht wenn ich bei DNS_FORWARDERS einfach 10.1.1.1 eintrage?
Ich sehe da folgende mögliche Ursachen (ich habe Deine Firewallregeln 
nicht geprüft):
1)
Deine Fritz!Box bietet keinen DNS Dienst an. Sprich auf Deiner Fritz!Box 
läuft keine DNS-Server, den der APU1 fragen kann. (Wie hast Du das bei 
APU2 konfiguriert?)
2)
Dein APU1 darf laut Deinen Regeln nicht an Deine Fritz!Box DNS Anfragen 
senden.
3)
Dein APU1 verwirft laut Deinen Regeln die Antwortpakete der DNS-Anfragen 
von Deiner Fritz!Box.

> 
> Danke für jedes Feedback, Rolf

Gruß
Thomas

Mehr Informationen über die Mailingliste Fli4l_dev