[fli4l] DMZ Afbau alt->neu

asterixer asterixer at gmx.net
Mi Feb 18 13:56:25 CET 2015 

Hallo Martin,

erstmal Danke fuer die Antwort.



Am 18.02.2015 um 08:07 schrieb Martin Dresbach:
> Hallo!
> 
> Sehe ich das richtig, dass deine Zuordnung so aussieht?
> IP_NET_1 ist ehemals "GREEN"
> IP_NET_2 ist ehemals "ORANGE"
> IP_NET_3 ist ehemals "RED"

Genau.
> 
> Ausserdem gehe ich mal davon aus, dass du bei deiner 3.6.2 noch die
> "alte" FW-Config benutzt hast, oder? Sonst sollten ja die Funktionen von
> PF_INPUT und PF_FORWARD bekannt sein. :)

Exact. Deswegen tats auch weh, dass die jetzt weg ist...

> 
> Da liegt wohl eher ein Verständnisproblem mit PF_INPUT vor. (Das
> analoge Verständnisproblem lag dann aber auch scchon bei der 3.6.2
> vor)
> Ich kann mir nämlich nicht vorstellen, dass du auf deinem Fli ein
> "Android Market" hostest, oder? Ausserdem finde ich es komisch, dass du
> offensichtlich mit OpenVPN arbeitest, aber den Zugang von aussen nicht
> erlaubst (sondern nur aus "GRÜN" und "ORANGE"), oder ist das so
> gewollt?

Achso? Ich dachte PF_Input muss ich auch fuer alle Dienste einsetzen,
die ueber den Router "drueber" muessen, weil wenn kein Zugriff auf den
Router bei diesem Port, dann auch keine Weiterleitung nach aussen?

Falls nicht war das ein Denkfehler.

OpenVPN soll nur von Orange nach Rot koennen. Ich betreibe keinen VPN
Server bei mir sondern greife nur vom DMZ Rechner auf einen im Internet zu.

> Über die anderen Dienste (bzw. Ports), die du den lokalen Netzen auf
> dem Fli anbietest möchte ich jetzt mal nicht spekulieren. :)
> 
Ich selber biete im orangen Netz nur ein paar Dienste fuer Rechner im
gruenen Netz an. Ich hab also den Server ins orange Netz gestellt. Das
schien mir sicherer da hauptsaechlich der Zugriff von anderen Rechner im
orangenen Netz auf dienste des Servers Dort erfolgen

> Ohne nähere Kenntnis von deinem genauen Setup bzw. deinen Plänen
> würde ich aber erst einmal eher folgende Konfiguration vorschlagen:
> 
> 
> PF_INPUT_N='8'
> PF_INPUT_1='IP_NET_1 ACCEPT' # "GRÜN" darf auf alles am Fli zugreifen
> PF_INPUT_2='port:1194 ACCEPT' # Zugriff auf OpenVPN aus allen lokalen
> Netzen und aus dem WAN
> PF_INPUT_3='tmpl:dns IP_NET_2 ACCEPT' # "ORANGE" darf auf DNS am Fli
> zugreifen
> PF_INPUT_4='IP_NET_2 any:113 ACCEPT' # "ORANGE" darf auf IDENT am Fli
> zugreifen (wofür auch immer)
> PF_INPUT_5='tmpl:syslog IP_NET_2 ACCEPT' # "ORANGE" darf auf SYSLOG am
> Fli zugreifen
> PF_INPUT_6='tmpl:dhcp IP_NET_2 ACCEPT' # "ORANGE" darf auf DHCP am Fli
> zugreifen
> PF_INPUT_7='tmpl:http IP_NET_2 ACCEPT' # "ORANGE" darf auf die Web-GUI
> am Fli zugreifen
> PF_INPUT_8='tmpl:https IP_NET_2 ACCEPT' # "ORANGE" darf auf HTTPS am Fli
> zugreifen (bietest du das wirklich auf dem Fli an?)
> 
> PF_FORWARD_N='10'
> PF_FORWARD_1='tmpl:samba DROP' # Samba-Traffic zwischen ALLEN Netzen
> verbieten
> PF_FORWARD_2='IP_NET_1 ACCEPT' # "GRÜN" darf in alle Netze
> weitertgeleitet werden
> PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT' # "ORANGE" darf nicht nach
> "GRÜN" weitergeleitet werden
> PF_FORWARD_4='tmpl:http IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> HTTP aufs WAN zugreifen
> PF_FORWARD_5='tmpl:smtp IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> SMTP aufs WAN zugreifen
> PF_FORWARD_6='tmpl:https IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf
> mittels HTTPS aufs WAN zugreifen
> PF_FORWARD_7='tmpl:imap IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> IMAP aufs WAN zugreifen
> PF_FORWARD_8='tmpl:imaps IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf
> mittels IMAPS aufs WAN zugreifen
> PF_FORWARD_9='port:5228 IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf auf
> "Android MArket" im WAN zugreifen
> PF_FORWARD_10='tmpl:ftp IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> FTP aufs WAN zugreifen
> 

Danke
> 
> Bei deiner alten Config sieht es so aus, als würde auf deinem Fli ein
> FTP-Server laufen. Ist das so? Falls ja, müsstest du noch folgende
> Regel ergänzen:
> 
> PF_INPUT_9='tmpl:ftp ACCEPT' # Zugriff auf FTP aus allen lokalen Netzen
> und aus dem WAN
> 

Nein einen FTP Server auf dem fli selber gibt es nicht.

> ODER, wenn der FTP-Zugriff nur lokal erlaubt sein soll:
> 
> PF_INPUT_9='tmpl:ftp IP_NET_2 ACCEPT' # Zugriff auf FTP aus allen
> lokalen Netzen
> 
> Natürlich dementsprechend nicht vergessen, den Wert für PF_INPUT_N zu
> erhöhen. :)
> 
> Zitat:
>> Wie schreibe ich denn die udp 1193 fuer openvpn da rein?
> 
> Meinst du nicht eventuell 1194? Das wäre nämlich mit der PF_INPUT_2
> von mir bereits erledigt (da kein Protokoll angegeben ist, wird die
> Regel für udp UND tcp erstellt).
> 
> Ich habe in den Regel-Kommentaren absichtlich die vorherigen "Farben"
> benutzt, damit es für den Umstieg eventuell leichter nachzuvollziehen
> ist. Ausgehend von meiner anfänglich genannten Zuordnung.
> 
> Hoffe, ich konnte dir erst mal weiterhelfen.
> Liebe Grüße,
> Martin
> 

Jupp Danke, Da kann ich die PF_INPUT Regeln erstmal kraeftig ausduennen.

Alex

Mehr Informationen über die Mailingliste Fli4L