[fli4l] PF_INP?==?utf-8?Q?UT - ein paar Verständnis?==?utf-8?Q?fragen

[K. Dreier]

Hallo,

mad-one schrieb am So, 01 Februar 2015 15:20
> In der Tat wäre das bei dir sinnvoll, das Masking zwischen den
> Subnetzen zu deaktivieren, so wie von mir vorgeschlagen (also
> PF_POSTROUTING_1='IP_NET_1 IP_NET_3 ACCEPT BIDIRECTIONAL'). Damit hast
> du nämlich die Möglichkeit, Dinge wie Logging oder IP-basierte
> Zugriffskontrolle etwa auf deinem NAS effektiv zu nutzen.

Ah, das leuchtet natürlich ein.

Zitat:
> Zitat:
> > Also in Form von "ethX"?
> 
> Ebenfalls richtig, bei dir dann also eth0. Alternativ geht bei dir
> da auch statt eth0 "IP_NET_2_DEV".
> Aber mal aus reiner Neugier: Was stört dich an den von mir
> vorgeschlagenen Regeln?

Es wäre 1 Zeile weniger  :d  

Zitat:
> Zumindest in deinem Fall wäre die Wirkung die selbe, abgesehen
> davon, dass dein Regel-Vorschlag an sich weniger restriktiv ist (auch
> wenn das keine "spürbare" Wirkung hat).

Richtig, allerdings wäre halt z.B. die Hinzufügung eines weitere
Netzes ohne jegliche Ergänzung einer weiteren Zeile beim Postrouting so
möglich. Weltverändernd? Eher nicht. ;-)

Zitat:
> Zitat:
> > Das ist jetzt meine nächste Baustelle. Aktuell klappt nämlich
> > mit NET_3 gar nichts, wenn Squid aktiv ist, zumindest nicht mit
> > auto_config=no.
> 
> Persönlich habe ich leider keine Erfahrung mit Squid, allerdings
> kann ich dir dazu einen Hinweis geben:
> Squid läuft als Dienst auf dem Fli. Also musst du, damit es für
> die NET_3 Clients funktioniert, deren INPUT-Chain-Regeln anpassen.
> Sprich den Zugriff auf den / die Squid-Ports erlauben.

Man könnte ja meinen, daß ich mittlerweile mal was gelernt hätte,
aber dem ist scheinbar nicht so...  :twisted:  Du hast natürlich wieder
mal völlig recht - bei meinem restriktiven Setup muß ich das
natürlich explizit erlauben. *kopfandiewandhau*  Gesagt, getan,
funktioniert. Allerdings natürlich immer noch nicht wirklich so, wie
ich das gerne hätte (siehe anderes Thema).

Zitat:
> Zitat:
> > [...] zumal ich ohnehin oft Probleme mit der Namens-Auflösung
> > der clients bei static dhcp habe, weswegen ich _eigentlich_* nur via
> > IP gehe.
> 
> Auch wenn das jetzt etwas OT ist, aber was für eine Art von
> Problemen hast du denn da?

Könnte sein, daß das nun der Vergangenheit angehört: Habe gerade mal
versucht, einen client nur beim Namen (ohne "Domain") zu pingen, geht
einwandfrei und auch im Browser geht es, zumindest mit Domain-Suffix,
ebenfalls. Vor ca. zwei Wochen aber hatte ich z.B. auch Probleme mit den
Angaben im Stile von "@clientname" beim prerouting, das ging nur mit
IPs. Evtl muß ich das doch jetzt auch nochmals mit clientnames testen.
Wäre halt etwas kürzer und eventuelle Änderungen in der IP z.B.
müssten dann nicht nachgeführt werden. Gerade beim Testen natürlich
hilfreich.

Gruß
Klaus