[fli4l] DMZ Afbau alt-?==?utf-8?Q?>neu

[Martin Dresbach]

Hallo!

Sehe ich das richtig, dass deine Zuordnung so aussieht?
IP_NET_1 ist ehemals "GREEN"
IP_NET_2 ist ehemals "ORANGE"
IP_NET_3 ist ehemals "RED"

Ausserdem gehe ich mal davon aus, dass du bei deiner 3.6.2 noch die
"alte" FW-Config benutzt hast, oder? Sonst sollten ja die Funktionen von
PF_INPUT und PF_FORWARD bekannt sein. :)

Zitat:
> Klappt das so, oder hab ich n Verstaengiungsproblem bei PF_FORWARD?

Da liegt wohl eher ein Verständnisproblem mit PF_INPUT vor. (Das
analoge Verständnisproblem lag dann aber auch scchon bei der 3.6.2
vor)
Ich kann mir nämlich nicht vorstellen, dass du auf deinem Fli ein
"Android Market" hostest, oder? Ausserdem finde ich es komisch, dass du
offensichtlich mit OpenVPN arbeitest, aber den Zugang von aussen nicht
erlaubst (sondern nur aus "GRÜN" und "ORANGE"), oder ist das so
gewollt?
Über die anderen Dienste (bzw. Ports), die du den lokalen Netzen auf
dem Fli anbietest möchte ich jetzt mal nicht spekulieren. :)

Ohne nähere Kenntnis von deinem genauen Setup bzw. deinen Plänen
würde ich aber erst einmal eher folgende Konfiguration vorschlagen:


PF_INPUT_N='8'
PF_INPUT_1='IP_NET_1 ACCEPT' # "GRÜN" darf auf alles am Fli zugreifen
PF_INPUT_2='port:1194 ACCEPT' # Zugriff auf OpenVPN aus allen lokalen
Netzen und aus dem WAN
PF_INPUT_3='tmpl:dns IP_NET_2 ACCEPT' # "ORANGE" darf auf DNS am Fli
zugreifen
PF_INPUT_4='IP_NET_2 any:113 ACCEPT' # "ORANGE" darf auf IDENT am Fli
zugreifen (wofür auch immer)
PF_INPUT_5='tmpl:syslog IP_NET_2 ACCEPT' # "ORANGE" darf auf SYSLOG am
Fli zugreifen
PF_INPUT_6='tmpl:dhcp IP_NET_2 ACCEPT' # "ORANGE" darf auf DHCP am Fli
zugreifen
PF_INPUT_7='tmpl:http IP_NET_2 ACCEPT' # "ORANGE" darf auf die Web-GUI
am Fli zugreifen
PF_INPUT_8='tmpl:https IP_NET_2 ACCEPT' # "ORANGE" darf auf HTTPS am Fli
zugreifen (bietest du das wirklich auf dem Fli an?)

PF_FORWARD_N='10'
PF_FORWARD_1='tmpl:samba DROP' # Samba-Traffic zwischen ALLEN Netzen
verbieten
PF_FORWARD_2='IP_NET_1 ACCEPT' # "GRÜN" darf in alle Netze
weitertgeleitet werden
PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT' # "ORANGE" darf nicht nach
"GRÜN" weitergeleitet werden
PF_FORWARD_4='tmpl:http IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
HTTP aufs WAN zugreifen
PF_FORWARD_5='tmpl:smtp IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
SMTP aufs WAN zugreifen
PF_FORWARD_6='tmpl:https IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf
mittels HTTPS aufs WAN zugreifen
PF_FORWARD_7='tmpl:imap IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
IMAP aufs WAN zugreifen
PF_FORWARD_8='tmpl:imaps IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf
mittels IMAPS aufs WAN zugreifen
PF_FORWARD_9='port:5228 IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf auf
"Android MArket" im WAN zugreifen
PF_FORWARD_10='tmpl:ftp IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
FTP aufs WAN zugreifen


Bei deiner alten Config sieht es so aus, als würde auf deinem Fli ein
FTP-Server laufen. Ist das so? Falls ja, müsstest du noch folgende
Regel ergänzen:

PF_INPUT_9='tmpl:ftp ACCEPT' # Zugriff auf FTP aus allen lokalen Netzen
und aus dem WAN

ODER, wenn der FTP-Zugriff nur lokal erlaubt sein soll:

PF_INPUT_9='tmpl:ftp IP_NET_2 ACCEPT' # Zugriff auf FTP aus allen
lokalen Netzen

Natürlich dementsprechend nicht vergessen, den Wert für PF_INPUT_N zu
erhöhen. :)

Zitat:
> Wie schreibe ich denn die udp 1193 fuer openvpn da rein?

Meinst du nicht eventuell 1194? Das wäre nämlich mit der PF_INPUT_2
von mir bereits erledigt (da kein Protokoll angegeben ist, wird die
Regel für udp UND tcp erstellt).

Ich habe in den Regel-Kommentaren absichtlich die vorherigen "Farben"
benutzt, damit es für den Umstieg eventuell leichter nachzuvollziehen
ist. Ausgehend von meiner anfänglich genannten Zuordnung.

Hoffe, ich konnte dir erst mal weiterhelfen.
Liebe Grüße,
Martin