[fli4l] DMZ Afbau alt->neu

asterixer asterixer at gmx.net
Di Feb 17 21:10:11 CET 2015 

Moin,

Ich habe unter 3.6.2 eine DMZ am Laufen in denen die Clients nur ganz
bestimmte Ports verwenden duerfen. Bis jetzt sah das so aus:

DMZ_ORANGE_RED_N='8'
DMZ_ORANGE_RED_1='prot:tcp 80 ACCEPT' # http fuers web
DMZ_ORANGE_RED_2='prot:tcp 25 ACCEPT' # smtp fuer mail
DMZ_ORANGE_RED_3='prot:tcp 21 ACCEPT' # ftp
DMZ_ORANGE_RED_4='prot:tcp 443 ACCEPT' #  https
DMZ_ORANGE_RED_5='prot:udp 1194 ACCEPT' # vpn
DMZ_ORANGE_RED_6='prot:tcp 993 ACCEPT' #  imap
DMZ_ORANGE_RED_7='prot:tcp 5228 ACCEPT' #  Android Market
DMZ_ORANGE_RED_8='prot:udp 5228 ACCEPT' #  Android Market

DMZ_ORANGE_ROUTER_N='7'
DMZ_ORANGE_ROUTER_1='53 ACCEPT'
DMZ_ORANGE_ROUTER_2='80 ACCEPT'
DMZ_ORANGE_ROUTER_3='21 ACCEPT'
DMZ_ORANGE_ROUTER_4='443 ACCEPT'
DMZ_ORANGE_ROUTER_5='1194 ACCEPT'
DMZ_ORANGE_ROUTER_6='tmpl:dhcp ACCEPT'
DMZ_ORANGE_ROUTER_7='5228 ACCEPT' #  Android Market


Ziel war eine DMZ von der aus nur ganz bestimmte Dienste im Internet
aufrufbar sind, also nur die die Freigeben sind.

Ich habs mal versucht auf "neu" umzustricken:

PF_INPUT_1='IP_NET_1 ACCEPT'    # allow all hosts in the local network to
                                # access the router
PF_INPUT_2='tmpl:dns IP_NET_2 ACCEPT'
PF_INPUT_3='IP_NET_2 any:113 ACCEPT'
PF_INPUT_4='tmpl:syslog IP_NET_2 ACCEPT'
PF_INPUT_5='tmpl:dhcp IP_NET_2 ACCEPT'
PF_INPUT_6='tmpl:http IP_NET_2 ACCEPT'
PF_INPUT_7='tmpl:https IP_NET_2 ACCEPT'
PF_INPUT_8='port:5228 IP_NET_2 ACCEPT' # Android Market
PF_INPUT_9='port:1194 IP_NET_2 ACCEPT' # openvpn

PF_FORWARD_N='10'                # number of FORWARD rules
PF_FORWARD_1='tmpl:samba DROP'  # drop samba traffic if it tries to
leave the
                                # subnet
PF_FORWARD_2='IP_NET_1 ACCEPT'  # accept everything else
PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT' #DMZ zu gruen ablehnen
PF_FORWARD_4='tmpl:http IPNET_2 IP_NET_3 ACCEPT'
PF_FORWARD_5='tmpl:smtp IPNET_2 IP_NET_3 ACCEPT'
PF_FORWARD_6='tmpl:https IPNET_2 IP_NET_3 ACCEPT'
PF_FORWARD_7='tmpl:imap IPNET_2 IP_NET_3 ACCEPT'
PF_FORWARD_8='tmpl:imaps IPNET_2 IP_NET_3 ACCEPT'
PF_FORWARD_9='port:5228 IPNET_2 IP_NET_3 ACCEPT' # Android Market
PF_FORWARD_10='tmpl:ftp IPNET_2 IP_NET_3 ACCEPT'

Klappt das so, oder hab ich n Verstaengiungsproblem bei PF_FORWARD?
Wie schreibe ich denn die udp 1193 fuer openvpn da rein?

asterix

Mehr Informationen über die Mailingliste Fli4L