[fli4l] Aw?==?utf-8?Q?: Frage zur Firewall (Inpu?==?utf-8?Q?t-Chain)

[K. Dreier]

Zitat: gandalf schrieb

> dann mach doch mal auf deinem fli4l
> 
> plink -N -D 7070 user at remoteserver
> 
> Dann öffnest du ein zweite Terminal, meldest dich da mittels
> ssh am fli4l ein zweites mal an und lässt dir folgendes ausgeben:
> 
> netstat -taunp|grep plink
> 
> dann siehst du auch auf welcher IP plink verbunden ist.

Verbindung steht jetzt (mit der testing-Version, die den fix
implementiert hat):
tcp 0 0 127.0.0.1:7070 0.0.0.0:*
plus auch einem Eintrag, der von meiner lokalen WAN-IP auf die Remote-IP
verweist, auf welche ich mittels plink zugegriffen habe.

Aber:

> PF_INPUT_x='IP_NET_2_IPADDR:7070 ACCEPT' muss natürlich gesetzt
> sein, sodass der Zugriff erlaubt ist.

Das hilft nicht, ich bekomme ein "Proxy Server refused connection", wenn
ich z.B. im Browser den Socks(5)-Proxy auf den obigen Port und die
fli4l-IP setze.

> Ist die IP in einem anderen Segment, benötigst du eine Forwarding
> Regel
> in der Form
> 
> PF_FORWARD_x_='if:deinSegment:Segment_wo_Socks_horcht any:7070
> ACCPT'

Was genau meinst du hier mit Segment? Mein Setup ist:
client1 ist im NET_2. NET_2 hat via "PF_INPUT_x='IP_NET_2 ACCEPT'"
Zugriff auf die fli4l-Dienste/Ports. IP_NET_1 ist mein WAN.
Eine Regel à la "PF_INPUT_x='prot:tcp IP_NET_2 7070 ACCEPT'" ist doch
damit überflüssig? Auch eigentlich doch ein
"PF_INPUT_x='IP_NET_2_IPADDR:7070 ACCEPT'" oder verstehe ich das wieder
falsch?
So oder so, die verschiedensten Varianten habe ich versucht, ohne
Erfolg. Ich brauche hier doch keinen Forward-Eintrag, wenn mein client
auf die IP_NET_2_Schnittstelle ohnehin Zugriff hat, insb. weil er im
gleichen NET_2 ist? 

Gruß
Klaus