[fli4l] Syntax Ip_Forward Regel

Florian Wolters florian at florian-wolters.de
Di Feb 17 14:43:43 CET 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Hallo Volker,

>  eth0 ist mein privates Netz 10.0.0.0/24, was ich mit wlan0 gebridged 
>  habe, respektive beide Netze zusammengefasst zu br0.

Ich nehme mal an, dass das IP_NET_1 ist.

>  eth1 ist mein Netz zum Internet via statische ip.

Und das IP_NET_2

>  eth2 soll meine DMZ sein 172.16.0.0/24 , worueber das Gaeste Wlan laeuft.

Und das IP_NET_3

>  Alle Netze sollen maskiert werden.

Das kannst du mit den folgenden Regeln erreichen:
PF_POSTROUTING_x='IP_NET_1 MASQUERADE'
PF_POSTROUTING_x='IP_NET_3 MASQUERADE'

Zusätzlich müsstest du aber das Forwarding auch erlauben mit:

PF_FORWARD_x='IP_NET_1 IP_NET_2 ACCEPT'
PF_FORWARD_x='IP_NET_3 IP_NET_2 ACCEPT'

>  Und DMZ Lan soll nur Zugriff auf Internet gewaehrt werden und das 
>  Anmeldeportal von c3surf.

Das macht keinen Sinn. Wenn die DMZ Zugriff auf das Internet haben soll,
warum brauchen die Clients dann Zugriff auf c3surf? Ist das nun eine DMZ
oder ein Gäste-WLAN?

>  eth0 soll Zugriff auf eth2 haben, aber nicht umgekehrt.

PF_FORWARD_x='IP_NET_1 IP_NET_3 ACCEPT'
Wichtig ist, dass nicht später noch eine Regel folgt, die dem IP_NET_3
den Zugriff auf IP_NET_1 erlaubt.

Ich verstehe nach all dem aber nicht, was du mit "if:eth1:eth1"
erreichen wolltest. Vor allem, weil an dem Interface nur der "Uplink"
hängt ...

Viele Grüße

   Florian

- --
fli4l-Team


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=RkKn
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste Fli4L