[fli4l] Frage zu C3surf und Paketfilter (DNS und DHCP)

Mi Jun 4 21:34:21 CEST 2014

Hallo,

Am 04.06.2014 16:23, schrieb Robert Kraus:
 > Hallo Alex.
 >
 > Ich habe auch c3surf am laufen, aber dhcp und so weiter wird durch
 > c3surf ja eigentlich nicht geblockt.

Also bei mir kommt kein DHCP/DNS an. Wenn ich dem WLAN-Client ne feste 
IP und die DNS-Info manuell verpasse geht alles wie erwartet.
(Entspricht eigentlich auch dem Verhalten laut Doku)

 > Meine Konfig:
...
 > Funktioniert ohne Probleme....
 > Wie sieht Deine Konfig aus?

IP_NET_1 ist wie bei Dir ein Ethernet-Router - funktioniert über eth0

IP_NET_2 ist eine bridge br0 für eth1 und eth2 sowie wlan0 "privater" 
Natur und routet zum Internet wie erwartet (ein 172.23.XX.XX Netz)

IP_NET_3 ist wlan0v2 und soll ohne zugriff auf die bridge und über 
c3surf ins Internet routen (jenes 192.168.111.0/24 Netz aus meinem 
IPTables-Versuchen)

Meine Config:

fli4l-3.9.0-r30262-testing

PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_N='5'
PF_INPUT_1='IP_NET_2 ACCEPT' #brige mit lan und wlan0 "internes" Netz
PF_INPUT_1_COMMENT='bridge Netzwerk'
PF_INPUT_2='tmpl:samba DROP NOLOG'
PF_INPUT_2_COMMENT='no samba traffic allowed'
PF_INPUT_3='IP_NET_3 ACCEPT' #wlan0v2
PF_INPUT_3_COMMENT='Gäste-WLAN Netzwerk'
PF_INPUT_4='tmpl:ssh ACCEPT'
PF_INPUT_4_COMMENT='SSH zulassen'
PF_INPUT_5='IP_NET_3 IP_NET_2 DROP BIDIRECTIONAL'  # das "interne" und 
gast-netz sollen sich nicht sehen
PF_INPUT_5_COMMENT='Sperre zwischen interem Netz und Gäste WLAN'
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_N='2'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_2 ACCEPT'
PF_FORWARD_3='IP_NET_3 ACCEPT'
PF_OUTPUT_POLICY='ACCEPT'
PF_OUTPUT_ACCEPT_DEF='yes'
PF_OUTPUT_LOG='no'
PF_OUTPUT_N='0'
PF_POSTROUTING_N='2'
PF_POSTROUTING_1='IP_NET_2 MASQUERADE'
PF_POSTROUTING_2='IP_NET_3 MASQUERADE'
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_PREROUTING_CT_N='3'
PF_PREROUTING_CT_1='tmpl:ftp IP_NET_2 HELPER:ftp'
PF_PREROUTING_CT_2='tmpl:ftp IP_NET_3 HELPER:ftp'
PF_PREROUTING_CT_3='tmpl:ftp any dynamic HELPER:ftp'
PF_OUTPUT_CT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_N='0'
PF_USR_CHAIN_N='0'

DNS_LISTEN_1='IP_NET_2_IPADDR'
DNS_LISTEN_2='IP_NET_3_IPADDR'

DHCP_RANGE_2_NET='IP_NET_3'
DHCP_RANGE_2_START='192.168.111.10'
DHCP_RANGE_2_END='192.168.111.240'
DHCP_RANGE_2_DNS_SERVER1='192.168.111.1'
DHCP_RANGE_2_DNS_SERVER2=''
DHCP_RANGE_2_DNS_DOMAIN='wlan.local'
DHCP_RANGE_2_NTP_SERVER='192.168.111.1'
DHCP_RANGE_2_GATEWAY='192.168.111.1'

C3SURF_LOG_PATH='/var/log/c3surf'
C3SURF_PERSISTENT_PATH='/data/c3surf'
C3SURF_DOLOG_HTTPD='no'
C3SURF_WORKON_TMP='yes'
C3SURF_QUOTA='yes'
C3SURF_COUNTER='0'
C3SURF_TIME='60'
C3SURF_BLOCKTIME='240'
C3SURF_SAVE_QUOTA='yes'
C3SURF_CHECK_ARP='yes'
C3SURF_CONTROL_HOST_OR_NET_N='1'
C3SURF_CONTROL_HOST_OR_NET_1='IP_NET_3'
C3SURF_CONTROL_PORT_N='0'
C3SURF_BLOCK_PORT_N='2'
C3SURF_BLOCK_PORT_1='5000'
C3SURF_BLOCK_PORT_2='5001'
C3SURF_HTTPD_PORT='8080'
C3SURF_HTTPD_LISTENIP='IP_NET_3_IPADDR'
OPT_LOGINUSR='yes'
LOGINUSR_DELETE_PERSISTENT_DATA='no'
LOGINUSR_ACCOUNT_N='0'
OPT_C3SURF_VOUCHER='yes'
C3SURF_VOUCHER_N='3'
C3SURF_VOUCHER_1_TIME='10080'
C3SURF_VOUCHER_1_COUNT='3'
C3SURF_VOUCHER_1_DAYS='60'
C3SURF_VOUCHER_1_LIVES='-1'
C3SURF_VOUCHER_DEL_CRON='0 4 * * *'
C3SURF_VOUCHER_GEN_CRON='15 4 * * *'

 >
 > Gruß
 > Robert

Freu mich über jede Hilfe!

Alex