[fli4l] Lan Router 3.6.2

Frank Stroeter frankstroeter at arcor.de
Mi Okt 22 10:52:19 CEST 2014 

Am 21.10.2014 um 22:39 schrieb Christoph Schulz:
> Hallo!
>
> Frank Stroeter wrote:
>
>> PF_FORWARD_N='4'
>> PF_FORWARD_1='tmpl:samba DROP'
>> PF_FORWARD_2='IP_NET_1 ACCEPT'
>
> IP_NET_1 kann überall hin,
>
>> PF_FORWARD_3='IP_NET_2 ACCEPT'
>
> IP_NET_2 kann überall hin,
>
>> PF_FORWARD_4='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
>
> somit ist _diese_ letzte Regel überflüssig! Denn sie erlaubt etwas, was
> ohnehin schon erlaubt ist. Ich würde Regel 1 und 4 lassen und 2 und 3
> streichen, weil Regel 4 expliziter ist (sie erlaubt IP_NET_1 und IP_NET_2
> miteinander zu reden, erlaubt aber IP_NET_1 und IP_NET_2 nicht, mit
> irgendwelchen anderen Netzen zu kommunizieren).

Habe ich geändert
PF_FORWARD_N='2'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'

>> PF_POSTROUTING_N='1'
>> PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
>
> Völlig überflüssig (und falsch), POSTROUTING ist kein Filter (ACCEPT!).
> Bitte die Dokumentation hierzu nochmal lesen. POSTROUTING wird nur für
> "Source NAT" verwendet (Regeltypen "SNAT" und "MASQUERADE") und erlaubt es,
> die Quelladresse von Paketen zu modifizieren, bevor sie den Router
> verlassen.

OK
PF_POSTROUTING_N='0'

>> Folgendes Ergebnis:
>> Aus dem 11.0 Netz Ping auf Router 11.1 und 0.100 geht.
>> httpd mit 11.1 erreichbar
>
> Die INPUT-Kette erlaubt jeden Zugriff aus IP_NET_1 auf den Router. Kein
> Forwarding (FORWARD-Kette) ist involviert. Passt.
>
> Es fehlt aber der FORWARD-Test. Kannst du von einem Host in 192.168.11.0/24
> einen Host in 192.168.0.0/24 (und zwar _nicht_ den Router!) anpingen?

Sorry hab ich vergessen: Nein geht nicht

>> Aus dem 0.0 Netz Ping auf Router 11.1 und 0.100 geht nicht
>
> Hier ist etwas deutlich kaputt, denn aus dem 192.168.0.0/24 _musst_ du den
> fli4l mit 192.168.0.100 erreichen können via Ping, insbesondere wenn
>
>> httpd mit 0.100 erreichbar
>
> der Zugriff auf den httpd funktioniert. Bist du _sicher_, dass der Ping
> nicht funktioniert? Was für Meldungen bekommst du?

Korrektur: Aus dem 0.0 Netz Ping auf 0.100 geht auf 11.1 geht nicht;
Zeitüberschreitung

> Nun, das kann an vielem liegen. Du müsstest uns schon erzählen, wie das
> Routing auf deinen Clients in den beiden LANs konfiguriert ist. Ist der
> fli4l der Default-Gateway für alle Adressen außerhalb von IP_NET_1 (für
> IP_NET_1-Clients) bzw. außerhalb von IP_NET_2 (für IP_NET_2-Clients)? Oder
> gibt es explizite Routen für das jeweils andere Subnetz? Unter Linux zeigst
> du die Routen mit
>
>    ip route
>
> an, unter Windows mit
>
>    route print
>
> (wenn ich mich richtig erinnere, habe gerade kein Windows zur Hand).
>
> Da du keinen DHCP-Server zu nutzen scheinst, der die korrekte Gateway-
> Konfiguration auf die Clients schiebt, vermute ich einfach mal ein Routing-
> Konfigurationsproblem auf deinen Clients.

Im 11.0 Netz eine Windose:
IP 11.4, Netz /24, Gateway 11.1

Im 0.0 Netz diverse Maschienen. Test von einer Windose:
IP 0.3, Netz /24, Gateway 0.1 (Fli Richtung Internet)

>> Ich möchte aus dem 11.0 Netz Maschinen im 0.0 Netz erreichen.
>
> Wenn dies das einzige ist, was du willst, warum erlaubst du dann IP_NET_2
> mit IP_NET_1 zu sprechen (Regel 3 bzw. 4)? Das wäre ja sinnvoll, um Hosts
> aus 192.168.0.0/24 zu erlauben, mit Hosts in 192.168.11.0/24 zu
> kommunizieren. Wenn du das nicht willst, solltest du das "BIDIRECTIONAL"
> oben in Regel 4 streichen.

Verbindungen von 0.0 nach 11.0 sind erstmal nicht wichtig.
Später möchte ich noch andere Dinge erreichen. Aber wenn es hier schon 
klemmt... Die 4. Regel sollte aber doch funktionieren, oder nicht?

> Viele Grüße,

Danke Frank

Mehr Informationen über die Mailingliste Fli4L