[fli4l] Vers 3.10.?==?utf-8?Q?1 ztwei Netze gegneinder ab?==?utf-8?Q?schotten

Martin Dresbach martin.dresbach at arcor.de
Mo Feb 9 07:11:43 CET 2015 

Hallo Helmut.

Bei deiner bisherigen Config kann das auch nicht wirklich
funktionieren.

Da du ja auch nicht wirklich beschrieben hattest, zu welchen Problemen
es bei dir kommt (sondern nur was dein Bestreben ist), frage ich mal
meine Kristallkugel. :) Diese sagt mir:
1. Niemand hat Zugriff auf die Samba Ports am Fli (INPUT_1)
2. Beide Netzte haben derzeit Zufriff auf alle anderen Ports am Fli
(INPUT_2 und INPUT_3)
3. Samba-Pakete werden generell in kein anderes Netz weitergeleitet,
weder ins WAN, noch im LAN (FORWARD_1)
4. NET_1 hat Zugriff auf das WAN und auf das NET_2 (FORWARD_2)
5. NET_2 hat Zugriff auf das WAN und auf das NET_1 (FORWARD_3)
6. Der gewünschte Effekt, die Kommunikation von NET_2 in NET_1 zu
verbieten bleibt aus (FORWARD_4). Diese Regel kommt nie zum Einsatz, da
die Kommunikation bereits in den vorherigen Regeln erlaubt wurde
7. Ob Pings zwischen den Netzen funktionieren weiss auch meine
Kristallkugel nicht. Du solltest nämlich noch angeben, ob du die
jeweiligen Standardregeln nutzt oder nicht (also PF_INPUT_ACCEPT_DEF,
PF_FORWARD_ACCEPT_DEF, PF_OUTPUT_ACCEPT_DEF)
8. Ich gehe auch mal davon aus, dass du bei den jeweiligen
Policy-Einstellungen "REJECT" bzw. "DROP" benutzt, oder?

Generell würde ich dir dazu raten, dir erst einmal darüber klar zu
werden, WAS du wirklich willst. Sowas wie "kann, muss aber nicht" lässt
sich nämlich nicht in FW-Regeln implementieren. Diese Entscheidung
solltest du halt vorher treffen.

Wie Christoph auch schon sagte, ein Ping INNERHALB eines Netzes kannst
du nicht unterbinden. Lediglich ZWISCHEN den Netzen.
Was du da allerdings in deiner User-Chain gebastelt hast, weiss meine
Kristallkugel nicht, aber offensichtlich verwendust du ja eine:
Zitat:
> PF_USR_CHAIN_N='1'
> PF_USR_CHAIN_1_NAME='usr-in-icmp'


Ein genereller Ansatz für dich wäre also z.B. dann so ein Konstrukt:


PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_LOG='yes'
PF_INPUT_N='3'
PF_INPUT_1='tmpl:samba DROP NOLOG'
PF_INPUT_2='IP_NET_1 ACCEPT'
PF_INPUT_3='IP_NET_2 ACCEPT'

PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='yes'
PF_FORWARD_N='4'
PF_FORWARD_1='IP_NET_1 IP_NET_2 REJECT BIDIRECTIONAL'
PF_FORWARD_2='tmpl:samba DROP NOLOG'
PF_FORWARD_3='IP_NET_1 ACCEPT'
PF_FORWARD_4='IP_NET_2 ACCEPT'

PF_POSTROUTING_N='1'
PF_POSTROUTING_1='if:any:pppoe MASQUERADE'

PF_USR_CHAIN_N='0'


Deine PREROUTING-Regeln hast du ja anscheinend schon selber hinbekommen.
Diese musst du natürlich noch ergänzen. :)

Zur Erklärung:
1. Niemand hat Zugriff auf die Samba Ports am Fli (INPUT_1)
2. Beide Netze haben Zugriff auf alle anderen Ports am Fli (INPUT_2 und
INPUT_3)
3. Kommunikation zwischen NET_1 und NET_2 ist generell verboten, also
egal in welche Richtung (FORWARD_1)
4. Samba-Pakete werden nicht ins WAN weitergeleitet (FORWARD_2)
5. Beide Netze haben Zugriff zum WAN (FORWARD_3 und FORWARD_4)
6. Masquerading zum WAN (POSTROUTING_1)

Was die Ping-Thematik angeht, bin ich mir gerade ehrlich gesagt nicht zu
100% sicher. Eventuell erlauben die Standardregeln das. Da sollte
Christoph eventuell noch einmal was dazu sagen.

Hoffe das hilft dir erst einaml weiter.

Liebe Grüße,
Martin

Mehr Informationen über die Mailingliste Fli4L