[fli4l] DMZ Afbau alt->neu

Volker Boergens admin at networks-consulting.de
Mi Feb 18 20:27:45 CET 2015


Am 18.02.2015 um 19:45 schrieb Martin Dresbach:
> Hallo Volker.
>
> Zitat:
>> Im Syslog (PF_FORWARD_LOG='yes' ) ist mir kein Drop aufgefallen,
>> was das lokale Netzt betrifft.
>
> Naja, dann würde ich auch davon ausgehen, dass es nicht an den
> PF_FORWARD-Regeln liegen sollte. Natürlich vorausgesetzt, dein Syslog
> ist auch richtig konfiguriert. :)
>
> Hast du eigentlich die Default-Regeln aktiviert? Also
> PF_INPUT_ACCEPT_DEF='yes' und PF_FORWARD_ACCEPT_DEF='yes'?
>
> Zitat:
>> Dachte, dass vielleicht die Pakete vom gruenen Netz ins orangene
>> Netz umgeschrieben werden muessen.
>
> Du musst überhaupt nichts, solange dein restliches Setup damit klar
> kommt. :) Nein, jetzt mal im Ernst: Ich persönlich mag es nicht, in
> meinen lokalen Netzen zu maskieren. Ich finde es einfach leichter
> administrierbar, wenn man auch wirklich weiss, von welchem Client
> eine Anfrage kommt. Abgesehen davon, nutze ich einen externen
> DHCP-Server (also nicht den Fli). Dieser findet das auch überhaupt
> nicht witzig, wenn jeder Client quasi mit der Adresse vom Fli nach
> ner IP fragt, das gibt nur Chaos. Besonders dann, wenn ein DHCP via
> "dhcprelay" auf dem Fli mehrere Subnetze versorgen soll. Statische
> Leases wären damit in meinem Fall z.B. überhaupt nicht mehr
> möglich...
>
> Probier mal für dein POSTROUTING folgendes aus:
>
> PF_POSTROUTING_N='3' PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT
> BIDIRECTIONAL' PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
> PF_POSTROUTING_3='IP_NET_2 MASQUERADE'
>
>
> Liebe Grüße, Martin
>
Hallo Martin,
ich habe es mal mit dem posrouting so versucht, wie von Dir 
vorgeschlagen, aber gleiches Ergebnis, Accesspoint weder mit ping, noch 
mit http erreichbar. Vom Router aus geht der Ping auf den Accesspoint.
Habe mal meine relevanten configs zusammengefasst.

viele Gruesse

Volker


IP_NET_N='3'                    # number of IP ethernet networks
IP_NET_1='10.0.0.1/24'          # internes Netz (LAN)
                                 # netmask in CIDR (no. of set bits)
IP_NET_1_DEV='br0'              # (grün) required: device name like ethX

IP_NET_2='172.16.0.1/24'        # DMZ Netz
                                 # netmask in CIDR (no. of set bits)
IP_NET_2_DEV='eth1'             # (orange) required: device name like

IP_NET_3='130.180.xx.xx/30'     # externes Netz (WAN)
                                 # netmask in CIDR (no. of set bits)
IP_NET_3_DEV='eth2'             # (rot) required: device name like ethX

-------------------------------------------------------------------------------

PF_INPUT_POLICY='REJECT'        # be nice and use reject as policy
PF_INPUT_ACCEPT_DEF='yes'       # use default rule set
PF_INPUT_LOG='no'               # don't log at all
PF_INPUT_LOG_LIMIT='3/minute:5' # log 3 events per minute; allow a burst 
of 5
                                 # events
PF_INPUT_REJ_LIMIT='1/second:5' # reject 1 connection per second; allow
                                 # of 5 events; otherwise drop packet
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
                                 # reject 1 udp packet per second; allow
                                 # of 5 events; otherwise drop packet
PF_INPUT_N='6'                  # number of INPUT rules
PF_INPUT_1='tmpl:dns IP_NET_1 ACCEPT'    # allow all hosts in the local
                                          # access the router
PF_INPUT_2='tmpl:dhcp IP_NET_1 ACCEPT'
PF_INPUT_3='tmpl:ssh IP_NET_1 ACCEPT'
PF_INPUT_4='tmpl:syslog IP_NET_1 ACCEPT'

PF_INPUT_5='IP_NET_1 any:8080 ACCEPT'    # allow all hosts in the local
                                          # access the router
PF_INPUT_6='tmpl:dns IP_NET_2 ACCEPT'

--------------------------------------------------------------------------
PF_FORWARD_POLICY='REJECT'      # be nice and use reject as policy
PF_FORWARD_ACCEPT_DEF='yes'     # use default rule set
PF_FORWARD_LOG='yes'             # don't log at all
PF_FORWARD_LOG_LIMIT='none'
                                 # log 3 events per minute; allow
                                 # events
PF_FORWARD_REJ_LIMIT='1/second:5'
                                 # reject 1 connection per second; allow
                                 # of 5 events; otherwise drop packet
PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
                                 # reject 1 udp packet per second; allow
                                 # of 5 events; otherwise drop packet
PF_FORWARD_N='5'
PF_FORWARD_1='tmpl:samba DROP' # drop samba traffic if it tries to
PF_FORWARD_2='IP_NET_1 ACCEPT' # "GRÜN" darf in alle Netze
PF_FORWARD_3='state:ESTABLISHED,RELATED IP_NET_2 IP_NET_1 ACCEPT'
PF_FORWARD_4='IP_NET_2 IP_NET_1 REJECT' # orange nach grün verbieten
PF_FORWARD_5='IP_NET_2 ACCEPT' # orange überall hin nur nicht in grün
PF_FORWARD_6='tmpl:http IPNET_1 IP_NET_2 ACCEPT'

PF_OUTPUT_POLICY='ACCEPT'       # default policy for outgoing packets
PF_OUTPUT_ACCEPT_DEF='yes'      # use default rule set
PF_OUTPUT_LOG='no'              # don't log at all
PF_OUTPUT_LOG_LIMIT='3/minute:5'
                                 # log 3 events per minute; allow a
                                 # events
PF_OUTPUT_REJ_LIMIT='1/second:5'
                                 # reject 1 connection per second; allow
                                 # of 5 events; otherwise drop packet
PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
                                 # reject 1 udp packet per second; allow
                                 # of 5 events; otherwise drop packet
PF_OUTPUT_N='0'                 # number of OUTPUT rules

PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
PF_POSTROUTING_3='IP_NET_2 MASQUERADE'

---------------------------------------------------------------------------

OPT_SYSLOGD='yes'              # start syslogd: yes or no
SYSLOGD_RECEIVER='no'         # receive messages from network
SYSLOGD_DEST_N='3'              # number of destinations
SYSLOGD_DEST_1='*.* /dev/console'
                                 # n'th prio & destination of syslog msgs
SYSLOGD_DEST_2='*.* @10.0.0.2'
                                 # example: loghost 192.168.6.2
SYSLOGD_DEST_3='*.* @10.0.0.3'

SYSLOGD_DEST_4='/mnt/data/3a668b47-a469-4a10-a4b6-b548550dec8a/syslog'
                                 # example: log infos to file

SYSLOGD_ROTATE='no'             # rotate syslog-files once every day
SYSLOGD_ROTATE_DIR='/data/syslog'
                                 # move rotated files to ....
SYSLOGD_ROTATE_MAX='5'          # max number of rotated syslog-files

#------------------------------------------------------------------------------
# Optional package: klogd
#------------------------------------------------------------------------------
OPT_KLOGD='yes'                # start klogd: yes or no


Mehr Informationen über die Mailingliste Fli4L