[Fli4l_dev] Firewall-Regeln korrekt umgesetzt?

[Rolf Heinrichs]

Am 06.04.21 um 18:47 schrieb Thomas Grunenberg:
>> Hab meine alte APU1 aus dem Schrank geholt und von 3.10.4 auf 3.10.19 
>> hochgezogen. Die APU war vor Jahren auf meinem DSL6000 mit einer 
>> ISDN-Anlage der Router, hatte damals ein Speedport rein als Modem 
>> betrieben. Beim Hochziehen hab ich das DSL-Paket weggelassen und 
>> versucht das Teil als reinen Ethernetrouter zu konfigurieren. Von da 
>> aus hab ich dann auf die V4 60066 hochgerüstet. Soweit läuft das Teil. 
>> Ich hab bei dem Prozess ein paar Regeln verbiegen müssen damit NAT und 
>> DNS funktionieren. Diese Regel-Änderungen/Anpassungen möchte ich durch 
>> Kundige überprüfen lassen.
>>
>> Hardwaresetup:
>> TCOM-DSL 50MBit --> Fritzbox (10.1.1.1) --> (10.1.1.2) APU2 mit fli4l 
>> (10.2.2.1) --> Switch --> internes Hausnetz (10.2.2.x/24)
>>                                         |
>>                                         --> (10.1.1.3, Netz2) APU1 mit 
>> fli4l 4.60066 (10.3.3.1, Netz1) --> PC (10.3.3.2)
>>
> Oben schreibst Du, Du bist auf die Version 3.10.19 mit Deiner APU1 
> umgestiegen, in Deiner "Grafik" sieht es eher nach Version 4... aus.

Ja, die 3.10.19 war nur ein erster Zwischenschritt. Mitten drin in 
meinem Textblock steht ja das ich dann auf die V4.60066 was seit Mitte 
März die aktuelle Version ist hochgegangen bin.

>> ...
>> # Paketfilter
>> PF_INPUT[]='IP_NET_1 ACCEPT'            # Damit ich überhaupt das 
>> interne Netz bedienen kann
>>
>> Sach a mal, müsste da die Klammer nicht so aussehen: PF_INPUT[1]? Wird 
>> jedenfalls beim Bauen nicht angemeckert. Warum geht das?
> Wenn Du die Version 4 nutzt, geht das, da die neue Schreibweise 
> unterstützt wird:
> # Anstatt
> PF_INPUT_N='1'
> PF_INPUT[1]='IP_NET_1 ACCEPT'
> # kannst Du einfach
> PF_INPUT[]='IP_NET_1 ACCEPT'
> # schreiben. Das wird dann vom Build-Tool in die alte Schreibweise
> # übersetzt.

Ok, wenn das Tool das automatisch richtig macht ist gut. Ich werde den 
Syntaxfehler aber grade ziehen.

>> An dieser Stelle tut sich eine weitere Fragestellung auf. In der 
>> Fritte steht dieselbe Adresse für DNS bereits drin. Warum funktioniert 
>> DNS nicht wenn ich bei DNS_FORWARDERS einfach 10.1.1.1 eintrage?
> Ich sehe da folgende mögliche Ursachen (ich habe Deine Firewallregeln 
> nicht geprüft):
> 1)
> Deine Fritz!Box bietet keinen DNS Dienst an. Sprich auf Deiner Fritz!Box 
> läuft keine DNS-Server, den der APU1 fragen kann. (Wie hast Du das bei 
> APU2 konfiguriert?)

Doch, läuft. Statt einer expliziten Adresse (wie ich meinte mal 
eingetragen zu haben) steht da angehakt "Vom Anbieter zugewiesene Server 
verwenden", sowohl für IVP4 als auch für IVP6 (was ich derzeit nicht 
verwende). Und in der anderen APU2 hab ich den gleichen DNS-Server 
eingetragen wie in meinem OP beschrieben.

> 2)
> Dein APU1 darf laut Deinen Regeln nicht an Deine Fritz!Box DNS Anfragen 
> senden.
> 3)
> Dein APU1 verwirft laut Deinen Regeln die Antwortpakete der DNS-Anfragen 
> von Deiner Fritz!Box.

OPT_DNS='yes' steht in der _fli4l.txt drin. Mehr ist nicht konfiguriert.

Mit diesen Regeln hab ich so meine Schwierigkeiten. Was ich im OP 
beschrieben hab sind die Änderungen zum Default aus der _fli4l.txt.

Woran erkenne ich das ich mich eventuell selber blockiere?

Danke, Rolf