[fli4l] DMZ Afbau ?==?utf-8?Q?alt->neu

[Martin Dresbach]

Hallo Volker.

Zitat:
> Im Syslog (PF_FORWARD_LOG='yes' ) ist mir kein Drop aufgefallen, was
> das
> lokale Netzt betrifft.

Naja, dann würde ich auch davon ausgehen, dass es nicht an den
PF_FORWARD-Regeln liegen sollte. Natürlich vorausgesetzt, dein Syslog
ist auch richtig konfiguriert. :)

Hast du eigentlich die Default-Regeln aktiviert? Also
PF_INPUT_ACCEPT_DEF='yes' und PF_FORWARD_ACCEPT_DEF='yes'?

Zitat:
> Dachte, dass vielleicht die Pakete vom gruenen Netz ins orangene
> Netz
> umgeschrieben werden muessen.

Du musst überhaupt nichts, solange dein restliches Setup damit klar
kommt. :) Nein, jetzt mal im Ernst: Ich persönlich mag es nicht, in
meinen lokalen Netzen zu maskieren. Ich finde es einfach leichter
administrierbar, wenn man auch wirklich weiss, von welchem Client eine
Anfrage kommt. Abgesehen davon, nutze ich einen externen DHCP-Server
(also nicht den Fli). Dieser findet das auch überhaupt nicht witzig,
wenn jeder Client quasi mit der Adresse vom Fli nach ner IP fragt, das
gibt nur Chaos. Besonders dann, wenn ein DHCP via "dhcprelay" auf dem
Fli mehrere Subnetze versorgen soll. Statische Leases wären damit in
meinem Fall z.B. überhaupt nicht mehr möglich...

Probier mal für dein POSTROUTING folgendes aus:

	PF_POSTROUTING_N='3'
	PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
	PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
	PF_POSTROUTING_3='IP_NET_2 MASQUERADE'


Liebe Grüße,
Martin