[fli4l] DMZ Afbau alt->neu

[Sebastian Klein]

Moin moin,

bitte nicht immer ToFu oder auch FoTu schreiben das macht das Lesen so
anstrengend weil man immer _alles_ lesen muß um den Zusammenhang zu
erkennen...
Dazu auch gerne mal hier [1] gucken!

Ich schneid mal den Klumpen hier ein wenig auseinander und wieder
zusammen...

Am 18.02.15 um 20:27 schrieb Volker Boergens:

>>> Im Syslog (PF_FORWARD_LOG='yes' ) ist mir kein Drop aufgefallen,
>>> was das lokale Netzt betrifft.

siehe unten warum nicht...

> ich habe es mal mit dem posrouting so versucht, wie von Dir
> vorgeschlagen, aber gleiches Ergebnis, Accesspoint weder mit ping, noch
> mit http erreichbar. Vom Router aus geht der Ping auf den Accesspoint.

Das du vom fli4l den AP pingen kannst ist schon mal ganz gut. Weiteres
siehe unten...

> PF_INPUT_5='IP_NET_1 any:8080 ACCEPT'    # allow all hosts in the local

hier bringt das any nicht wirklich was. Ich würde die Regel so bauen:
PF_INPUT_5='if:IP_NET_1_DEV:any 8080 ACCEPT'
oder ein wenig "lascher":
PF_INPUT_5='IP_NET_1 8080 ACCEPT'

Mit
> PF_FORWARD_ACCEPT_DEF='yes'     # use default rule set
...
> PF_FORWARD_3='state:ESTABLISHED,RELATED IP_NET_2 IP_NET_1 ACCEPT'

brauchst du nicht, denn die wird mit obigem automatisch angelegt.

> PF_FORWARD_4='IP_NET_2 IP_NET_1 REJECT' # orange nach grün verbieten
> PF_FORWARD_5='IP_NET_2 ACCEPT' # orange überall hin nur nicht in grün
> PF_FORWARD_6='tmpl:http IPNET_1 IP_NET_2 ACCEPT'

hier hast du ein "_" vergessen, aber die Regel ist ja auch nicht aktiv.

> PF_OUTPUT_POLICY='ACCEPT'       # default policy for outgoing packets
> PF_OUTPUT_ACCEPT_DEF='yes'      # use default rule set
> PF_OUTPUT_LOG='no'              # don't log at all
> PF_OUTPUT_LOG_LIMIT='3/minute:5'
>                                 # log 3 events per minute; allow a
>                                 # events
> PF_OUTPUT_REJ_LIMIT='1/second:5'
>                                 # reject 1 connection per second; allow
>                                 # of 5 events; otherwise drop packet
> PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
>                                 # reject 1 udp packet per second; allow
>                                 # of 5 events; otherwise drop packet
> PF_OUTPUT_N='0'                 # number of OUTPUT rules
> 


>> Probier mal für dein POSTROUTING folgendes aus:

> PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
> PF_POSTROUTING_3='IP_NET_2 MASQUERADE'

Hier maskierst du alles was aus Netz 1 und 2 kommt und nicht von 1 nach
2 geht, kann man machen ist aber fürs Analysieren evtl. nicht so gut. Es
kann auch sein das der AP nur Zurgriffe aus "seinem" Netz zulässt, dann
wiederum mußt du maskieren, aber da nicht mit MASQUERADE sondern mit
einem SNAT. SNAT macht das Gleiche nur ist es für statische Adressen
geeignet und MASQUERADE für dynamische. Regel 1 sähe dann so aus:
PF_POSTROUTING_1='IP_NET_1 IP_NET_2 SNAT:IP_NET_2'

> SYSLOGD_DEST_N='3'              # number of destinations
> SYSLOGD_DEST_1='*.* /dev/console'
>                                 # n'th prio & destination of syslog msgs
> SYSLOGD_DEST_2='*.* @10.0.0.2'
>                                 # example: loghost 192.168.6.2
> SYSLOGD_DEST_3='*.* @10.0.0.3'

Du hast also 2 Syslog Server laufen auf 10.0.0.2 und .3?

> SYSLOGD_DEST_4='/mnt/data/3a668b47-a469-4a10-a4b6-b548550dec8a/syslog'

und das hier greift gar nicht siehe oben N='3'
lies dir bitte auch nochmal die Doku bzgl. der ganzen Regeln [2] bzw.
[3] durch. Die ist a) recht gut und b) haben wir sie dann nicht umsonst
geschrieben...


[1] http://www.fli4l.de/hilfe/newsgruppen-irc-forum/#c133
[2] http://www.fli4l.de/hilfe/dokumentation/dokumentation-310x/
[3] http://www.fli4l.de/fileadmin/doc/deutsch/html/fli4l-3.10.1/node18.html
-- 
viele Grüße,
Sebastian
[fli4l-team]