[fli4l] PF_INP?==?utf-8?Q?UT - ein paar Verständnis?==?utf-8?Q?fragen
Martin Dresbach
martin.dresbach at arcor.de
So Feb 1 15:20:48 CET 2015
Hallo Klaus.
Zitat:
> Das klingt, als sei es vernünftig. Very Happy mal ganz davon
> abgesehen, daß es ursprünglich von Martin kam und der weiß ja
> offensichtlich auch, was er tut.
Danke für die Blumen. :)
In der Tat wäre das bei dir sinnvoll, das Masking zwischen den
Subnetzen zu deaktivieren, so wie von mir vorgeschlagen (also
PF_POSTROUTING_1='IP_NET_1 IP_NET_3 ACCEPT BIDIRECTIONAL'). Damit hast
du nämlich die Möglichkeit, Dinge wie Logging oder IP-basierte
Zugriffskontrolle etwa auf deinem NAS effektiv zu nutzen.
Zitat:
> Was ebenfalls sinnvoll ist, da alles, was in meinen LANs läuft
> durch die erste Regel erledigt wird und damit diese Regel hier nur
> noch das betrifft, was ins WAN wandert, wo ja nunmal ein Masking
> nötig ist.
So ist es.
Zitat:
> Also in Form von "ethX"?
Ebenfalls richtig, bei dir dann also eth0. Alternativ geht bei dir da
auch statt eth0 "IP_NET_2_DEV".
Aber mal aus reiner Neugier: Was stört dich an den von mir
vorgeschlagenen Regeln? Zumindest in deinem Fall wäre die Wirkung die
selbe, abgesehen davon, dass dein Regel-Vorschlag an sich weniger
restriktiv ist (auch wenn das keine "spürbare" Wirkung hat).
Zitat:
> Interessant wäre es jetzt zu analysieren, wieso der Vorschlag von
> Martin nicht funktioniert hat, sondern es erst ging nachdem ich noch
> dns in der Input-chain geöffnet habe.
Du hast es dir eigentlich selbst schon beantwortet. War mein Fehler, da
für einen funktionierenden WAN-Zugriff natürlich auch ein DNS-Dienst
benötigt wird. Ich hatte einfach vergessen, diesen für die NET_3
Clients zuzulassen.
Zitat:
> Das ist jetzt meine nächste Baustelle. Aktuell klappt nämlich mit
> NET_3 gar nichts, wenn Squid aktiv ist, zumindest nicht mit
> auto_config=no.
Persönlich habe ich leider keine Erfahrung mit Squid, allerdings kann
ich dir dazu einen Hinweis geben:
Squid läuft als Dienst auf dem Fli. Also musst du, damit es für die
NET_3 Clients funktioniert, deren INPUT-Chain-Regeln anpassen. Sprich
den Zugriff auf den / die Squid-Ports erlauben.
Zitat:
> [...] zumal ich ohnehin oft Probleme mit der Namens-Auflösung der
> clients bei static dhcp habe, weswegen ich _eigentlich_* nur via IP
> gehe.
Auch wenn das jetzt etwas OT ist, aber was für eine Art von Problemen
hast du denn da?
Liebe Grüße,
Martin
Mehr Informationen über die Mailingliste Fli4L