[fli4l] Portforwarding beim Ethernet Router

Helmut Sieckmann hsieckmann at t-online.de
Fr Mär 7 18:50:03 CET 2014 

Am 07.03.2014 18:21, schrieb Sebastian Klein:
> Hi Helmut,
> 
> Am 07.03.14 18:02, schrieb Helmut Sieckmann:
>> es scheint, dass es doch nicht so einfach ist oder es fehlen noch Infos
> 
> wenn man weiß wie ist es einfach und ja ein paar Infos fehlten, deswegen
> sind Christoph und ich einfach mal von der "default" Config ausgegangen...
> 
>> Die Fritzbox steht bei einem Bekannten und ich trau den unity Media
>> Leuten nicht über den Weg; andererseits soll der fli4l später noch ein
>> paar Zusatzsachen machen (zB Temperatur im Webinterface anzeigen).
> 
> okay, das kann sein das die evtl. nen paar Ports von außen sperren, aber
> das kann man später testen und evtl. dann umstellen. (werden wir sehen
> wenn es soweit ist)
> 
>> Zum Testen steht der Router (Alix Board) noch bei mir und hängt hinter
>> einem Fli4l mit wrap Board.
>> Internet vom PC aus funktioniert (über beide fli4l's hinweg)
> 
> das ist doch schon mal ganz gut :-)
> 
>> *****************************
>>
>> wrap --- Alix --- PC's
>>
>> *****************************

Alle Einstellungen waren erstmal um das Netz zum funktionieren zu bringen.
Einiges ist wohl zu viel des Guten....

>>
>> Einstellung Alix Board :
>>
>> Netz 1  192.168.120.250/24
>>
>> Netz 2  192.168.220.254/24
>>
>> IP_ROUTE_N='1'
>> IP_ROUTE_1='0.0.0.0/0 192.168.120.254'
> 
> mit den Infos erweiter ich mal deine "Grafik" von oben ein wenig:
> 
> Internet --- wrap -- 192.168.120.0/24 -- alix --- 192.168.220.0/24

genau so ist es

> 
>> PF_INPUT_N='6'
>> PF_INPUT_1='if:IP_NET_1_DEV:any ACCEPT'
>> PF_INPUT_2='IP_NET_2 ACCEPT'
>> PF_INPUT_3='tmpl:ssh ACCEPT'
>> PF_INPUT_4='prot:icmp usr-in-icmp'
>> PF_INPUT_5='tmpl:dns IP_NET_2 ACCEPT'
> 
> so hier machst du den Zugriff auf das alix auf für / aus dem Netz
> alles aus Netz 1
> alles aus Netz 2
> ssh von überall
> icmp
> dns aus Netz 2   <--- der ist wenigstens überflüssig, siehe 1

o.k.


>> PF_FORWARD_N='3'
>>
>> PF_FORWARD_1='IP_NET_1 ACCEPT'
>> PF_FORWARD_2='IP_NET_2 ACCEPT'
>> PF_FORWARD_3='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'

> hier ist auch was doppelt, Regel drei ist bereits durch 1 und 2 abgedeckt.

o.k.

>> PF_POSTROUTING_N='4'
>>
>> PF_POSTROUTING_1='if:any:IP_NET_1_DEV IP_NET_2 MASQUERADE'

> hier maskierst du das was von irgendwo her mit der Adresse des zweiten
> Netz kommt und den alix auf dem ersten Netz verlassen möchte.
> Funktioniert erstmal, kann man aber evtl. geschickter lösen.

Diesen Eintrag hatte ich aus der Newsgroup vor ein paar Wochen...
wie gehts besser?

> 
>> PF_POSTROUTING_2='IP_NET_2 ACCEPT'
>> PF_POSTROUTING_3='IP_NET_1 ACCEPT'
>> PF_POSTROUTING_4='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
> 
> die machen für mich auf den ersten Blick keinen Sinn. Was möchtest du
> damit erreichen?
> 
kann raus

>> kein SNAT/MASQUERADE im postrouting
> 
> doch siehe oben ;-)
> (also genau das wovon ich ausgegangen bin)

> 
>> **************************
>> Einstellung wrap Board:
>>
>>
>> IP_ROUTE_N='1'
>>
>> IP_ROUTE_1='0.0.0.0/0 192.168.53.250'
> 
> das sollte dann die Route nach "draußen" sein...

genau!!


>> Ping von Wrap nach Alix geht nicht

> welche Adresse vom alix hast du denn genommen?

192.168.220.254 und die  192.168.220.1 (ist ein PC in diesem Netz)
> 
>> Ping von Alix nach wrap geht inkl Namensauflösung
> 
> das ist schon mal recht viel Wert


die zweite Option von Ernst sagt mir mehr zu...

Danke erstmal an alle hier für die viele Mühe

Gruss Helmut

Mehr Informationen über die Mailingliste Fli4L