[fli4l] DMZ Afbau ?==?utf-8?Q?alt->neu
Martin Dresbach
martin.dresbach at arcor.de
Mi Feb 18 16:54:10 CET 2015
Hallo zusammen.
@Alex:
Zitat:
> Achso? Ich dachte PF_Input muss ich auch fuer alle Dienste
> einsetzen,
> die ueber den Router "drueber" muessen, weil wenn kein Zugriff auf
> den
> Router bei diesem Port, dann auch keine Weiterleitung nach aussen?
> Falls nicht war das ein Denkfehler.
Mächtig großer Denkfehler! :) Die beiden Dinge sind völlig
unabhängig voneinander zu betrachten. Solltest du z.B. nämlich bei den
PF_INPUT-Regeln mal keine Quelle angeben, machst du damit automatisch
den Port zum WAN hin auf! Für die Weiterleitung, also das Routing,
bedarf es keiner PF_INPUT-Regeln!
Zitat:
> OpenVPN soll nur von Orange nach Rot koennen. Ich betreibe keinen
> VPN
> Server bei mir sondern greife nur vom DMZ Rechner auf einen im
> Internet zu.
Ok, dann hat sich meine Glaskugel da wohl geirrt. :)
In dem Fall bräuchtest du lediglich den entsprechenden Eintrag bei
PF_FORWARD. Also sowas:
PF_FORWARD_x='IP_NET_2 1194 ACCEPT'# "ORANGE" darf mittels OpenVPN (udp
und tcp) aufs WAN zugreifen
Zitat:
> So, nun funktionierts. PF_INPUT Regeln sind so ausgeduennt, dass nur
> die
> Dienste die ich vom fli4l benoetige angegeben sind.
So sieht das schon besser aus! :)
Zitat:
> PF_FORWARD musste ich eine Zeile aendern sonst frisst mkfli4l die
> nicht:
Ja, sorry. War mein Fehler. Das hatte ich übersehen und da het sich der
Fehler beim copy/paste mitgezogen. Deine Syntax ist natürlich die
Richtige.
Zitat:
> Analog sollte das dann auch fuer openVPN "nach draussen ins WAN"
> klappen.
Genau, siehe oben.
@Volker:
Zitat:
> ja, genau so verhaelt es sich, der Accesspoint soll nur
> kontrolliert
> werden bzw. administriert, weil sich in orange ein Gast Wlan
> befindet.
Gut, und die Zuordnungen der Netze passt auc so, wie von mir vermutet?
Zitat:
> ich habe die Regeln mal testweise eingespielt, aber wie gehabt
> komme
> nicht auf den Accesspoint, auch kein Ping.
Hmm, sehr seltsam. Hast du den Ping von einem "grünen" Client
abgesetzt? Kannst du den AP vom Fli aus direkt anpingen?
Was gibt denn dein Syslog zu den (verweigerten?) Zugriffen her?
Hast du am AP eventuell (ungewollt) eine Zugriffskontrolle aktiv, die
Zugriffe aus anderen Subnetzen blockt? Oder einen MAC-Filter? Solltest
du nämlich für die interne Kommunikation das Masquerading nicht
deaktiviert haben, fragt der Fli beim AP an, und nicht der Client, von
dem du es versuchst!
Liebe Grüße,
Martin
Mehr Informationen über die Mailingliste Fli4L