[fli4l] DMZ Afbau ?==?utf-8?Q?alt->neu
Martin Dresbach
martin.dresbach at arcor.de
Mi Feb 18 13:17:28 CET 2015
Hallo Volker.
So ganz verstehe ich dein Vorhaben ehrlich gesagt noch nicht. Und mit
"gelb" meinst du sicherlich "ORANGE", oder?
Wenn ich es richtig interpretiere, sollen die Clients aus "GRÜN" (ich
vermute mal IP_NET_1 bei dir) auf einen AP, der in "ORANGE" (hier
vermute ich IP_NET_2) hängt zugreifen dürfen, richtig?
Zitat:
> Das muesste doch schon mit Regel Nr.2 abgedeckt sein
Eigentlich schon. Es kann aber sein, dass du mit der Regel 3 die Antwort
des AP blockierst. Da bin ich mir aber gerade auch nicht zu 100% sicher.
Du kannst aber zum Test mal deine Regeln wie folgt ändern:
PF_FORWARD_N='5' #
PF_FORWARD_1='tmpl:samba DROP' # drop samba traffic if it tries to leave
the subnet
PF_FORWARD_2='IP_NET_1 ACCEPT' # "GRÜN" darf in alle Netze
PF_FORWARD_3='state:ESTABLISHED,RELATED IP_NET_2 IP_NET_1 ACCEPT' #
Antworten auf bestehende Verbindungen von "ORANGE" nach "GRÜN"
erlauben
PF_FORWARD_4='IP_NET_2 IP_NET_1 REJECT' # orange nach grün verbieten
PF_FORWARD_5='IP_NET_2 ACCEPT' # orange überall hin nur nicht in grün
Die (mittlerweile) Regek 5 habe ich einfach verkürzt. Führt aber zu
dem Ergebnis, das ich deinem Kommentar entnehme.
Liebe Grüße,
Martin
Mehr Informationen über die Mailingliste Fli4L