[fli4l] Frage zu C3surf und Paketfilter (DNS und DHCP)
Peter Schiefer
newsgroup at lan4me.de
Do Jun 5 15:43:02 CEST 2014
Hallo Alexander,
Am Wed, 04 Jun 2014 21:34:21 +0200 schrieb Alexander Aul:
> Meine Config:
>
> fli4l-3.9.0-r30262-testing
>
> PF_INPUT_POLICY='REJECT'
> PF_INPUT_ACCEPT_DEF='yes'
> PF_INPUT_N='5'
> PF_INPUT_1='IP_NET_2 ACCEPT' #brige mit lan und wlan0 "internes" Netz
> PF_INPUT_1_COMMENT='bridge Netzwerk'
> PF_INPUT_2='tmpl:samba DROP NOLOG'
> PF_INPUT_2_COMMENT='no samba traffic allowed'
> PF_INPUT_3='IP_NET_3 ACCEPT' #wlan0v2
> PF_INPUT_3_COMMENT='Gäste-WLAN Netzwerk'
> PF_INPUT_4='tmpl:ssh ACCEPT'
> PF_INPUT_4_COMMENT='SSH zulassen'
> PF_INPUT_5='IP_NET_3 IP_NET_2 DROP BIDIRECTIONAL' # das "interne" und
> gast-netz sollen sich nicht sehen
> PF_INPUT_5_COMMENT='Sperre zwischen interem Netz und Gäste WLAN'
INPUT = Zugriff auf Dienste des Routers!!!!
wenn Du Routing zwischen zwei Netzen verhindern willst, gehört das nach
PF_FORWARD_x=
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_LOG='no'
> PF_FORWARD_N='2'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='IP_NET_2 ACCEPT'
Routing von Quelle IP_NET_2 zu any erlaubt!
> PF_FORWARD_3='IP_NET_3 ACCEPT'
Routing von Quelle IP_NET_3 zu any erlaubt - wird aber eh nicht aktiv, da
PF_FORWARD_N auf 2 steht
> PF_OUTPUT_POLICY='ACCEPT'
> PF_OUTPUT_ACCEPT_DEF='yes'
> PF_OUTPUT_LOG='no'
> PF_OUTPUT_N='0'
> PF_POSTROUTING_N='2'
> PF_POSTROUTING_1='IP_NET_2 MASQUERADE'
führe MASQ durch, wenn der source aus dem Netz IP_NET_2 stammt
> PF_POSTROUTING_2='IP_NET_3 MASQUERADE'
führe MASQ durch, wenn der source aus dem Netz IP_NET_3 stammt
> PF_PREROUTING_CT_ACCEPT_DEF='yes'
> PF_PREROUTING_CT_N='3'
> PF_PREROUTING_CT_1='tmpl:ftp IP_NET_2 HELPER:ftp'
> PF_PREROUTING_CT_2='tmpl:ftp IP_NET_3 HELPER:ftp'
> PF_PREROUTING_CT_3='tmpl:ftp any dynamic HELPER:ftp'
> PF_OUTPUT_CT_ACCEPT_DEF='yes'
> PF_OUTPUT_CT_N='0'
> PF_USR_CHAIN_N='0'
>
> DNS_LISTEN_1='IP_NET_2_IPADDR'
> DNS_LISTEN_2='IP_NET_3_IPADDR'
>
> DHCP_RANGE_2_NET='IP_NET_3'
> DHCP_RANGE_2_START='192.168.111.10'
> DHCP_RANGE_2_END='192.168.111.240'
> DHCP_RANGE_2_DNS_SERVER1='192.168.111.1'
> DHCP_RANGE_2_DNS_SERVER2=''
> DHCP_RANGE_2_DNS_DOMAIN='wlan.local'
> DHCP_RANGE_2_NTP_SERVER='192.168.111.1'
> DHCP_RANGE_2_GATEWAY='192.168.111.1'
>
> C3SURF_LOG_PATH='/var/log/c3surf'
> C3SURF_PERSISTENT_PATH='/data/c3surf'
> C3SURF_DOLOG_HTTPD='no'
> C3SURF_WORKON_TMP='yes'
> C3SURF_QUOTA='yes'
> C3SURF_COUNTER='0'
> C3SURF_TIME='60'
> C3SURF_BLOCKTIME='240'
> C3SURF_SAVE_QUOTA='yes'
> C3SURF_CHECK_ARP='yes'
> C3SURF_CONTROL_HOST_OR_NET_N='1'
> C3SURF_CONTROL_HOST_OR_NET_1='IP_NET_3'
> C3SURF_CONTROL_PORT_N='0'
> C3SURF_BLOCK_PORT_N='2'
> C3SURF_BLOCK_PORT_1='5000'
> C3SURF_BLOCK_PORT_2='5001'
> C3SURF_HTTPD_PORT='8080'
> C3SURF_HTTPD_LISTENIP='IP_NET_3_IPADDR'
> OPT_LOGINUSR='yes'
> LOGINUSR_DELETE_PERSISTENT_DATA='no'
> LOGINUSR_ACCOUNT_N='0'
> OPT_C3SURF_VOUCHER='yes'
> C3SURF_VOUCHER_N='3'
> C3SURF_VOUCHER_1_TIME='10080'
> C3SURF_VOUCHER_1_COUNT='3'
> C3SURF_VOUCHER_1_DAYS='60'
> C3SURF_VOUCHER_1_LIVES='-1'
> C3SURF_VOUCHER_DEL_CRON='0 4 * * *'
> C3SURF_VOUCHER_GEN_CRON='15 4 * * *'
>
> Freu mich über jede Hilfe!
Ich würde Dir emppfehlen, noch mals die Doku zum Paketfilter genau zu lesen
und nach Anpassung deiner Regeln dann hier weiter zu Fragen!
Gruß Peter
Mehr Informationen über die Mailingliste Fli4L