[fli4l] Lan Router 3.6.2

Christoph Schulz fli4l at kristov.de
Di Okt 21 22:39:22 CEST 2014 

Hallo!

Frank Stroeter wrote:

> PF_FORWARD_N='4'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='IP_NET_1 ACCEPT'

IP_NET_1 kann überall hin,

> PF_FORWARD_3='IP_NET_2 ACCEPT'

IP_NET_2 kann überall hin,

> PF_FORWARD_4='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'

somit ist _diese_ letzte Regel überflüssig! Denn sie erlaubt etwas, was 
ohnehin schon erlaubt ist. Ich würde Regel 1 und 4 lassen und 2 und 3 
streichen, weil Regel 4 expliziter ist (sie erlaubt IP_NET_1 und IP_NET_2 
miteinander zu reden, erlaubt aber IP_NET_1 und IP_NET_2 nicht, mit 
irgendwelchen anderen Netzen zu kommunizieren).

> PF_POSTROUTING_N='1'
> PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'

Völlig überflüssig (und falsch), POSTROUTING ist kein Filter (ACCEPT!). 
Bitte die Dokumentation hierzu nochmal lesen. POSTROUTING wird nur für 
"Source NAT" verwendet (Regeltypen "SNAT" und "MASQUERADE") und erlaubt es, 
die Quelladresse von Paketen zu modifizieren, bevor sie den Router 
verlassen.

> 
> Folgendes Ergebnis:
> Aus dem 11.0 Netz Ping auf Router 11.1 und 0.100 geht.
> httpd mit 11.1 erreichbar

Die INPUT-Kette erlaubt jeden Zugriff aus IP_NET_1 auf den Router. Kein 
Forwarding (FORWARD-Kette) ist involviert. Passt.

Es fehlt aber der FORWARD-Test. Kannst du von einem Host in 192.168.11.0/24 
einen Host in 192.168.0.0/24 (und zwar _nicht_ den Router!) anpingen?

> Aus dem 0.0 Netz Ping auf Router 11.1 und 0.100 geht nicht

Hier ist etwas deutlich kaputt, denn aus dem 192.168.0.0/24 _musst_ du den 
fli4l mit 192.168.0.100 erreichen können via Ping, insbesondere wenn

> httpd mit 0.100 erreichbar

der Zugriff auf den httpd funktioniert. Bist du _sicher_, dass der Ping 
nicht funktioniert? Was für Meldungen bekommst du?

Nun, das kann an vielem liegen. Du müsstest uns schon erzählen, wie das 
Routing auf deinen Clients in den beiden LANs konfiguriert ist. Ist der 
fli4l der Default-Gateway für alle Adressen außerhalb von IP_NET_1 (für 
IP_NET_1-Clients) bzw. außerhalb von IP_NET_2 (für IP_NET_2-Clients)? Oder 
gibt es explizite Routen für das jeweils andere Subnetz? Unter Linux zeigst 
du die Routen mit

  ip route

an, unter Windows mit

  route print

(wenn ich mich richtig erinnere, habe gerade kein Windows zur Hand).

Da du keinen DHCP-Server zu nutzen scheinst, der die korrekte Gateway-
Konfiguration auf die Clients schiebt, vermute ich einfach mal ein Routing-
Konfigurationsproblem auf deinen Clients.

> 
> Ich möchte aus dem 11.0 Netz Maschinen im 0.0 Netz erreichen.

Wenn dies das einzige ist, was du willst, warum erlaubst du dann IP_NET_2 
mit IP_NET_1 zu sprechen (Regel 3 bzw. 4)? Das wäre ja sinnvoll, um Hosts 
aus 192.168.0.0/24 zu erlauben, mit Hosts in 192.168.11.0/24 zu 
kommunizieren. Wenn du das nicht willst, solltest du das "BIDIRECTIONAL" 
oben in Regel 4 streichen.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L