[fli4l] DMZ Afbau ?==?utf-8?Q?alt->neu

Martin Dresbach martin.dresbach at arcor.de
Do Feb 19 14:04:18 CET 2015


Hallo Volker.

Um deine Problematik besser nachvollziehen zu können, habe ich dein
Setup mal bei mir als Testaufbau nachgestellt.

Ich bin dabei anfangs auf genau die gleiche Problematik gestossen.
Anstelle des AP (wie bei dir) habe ich einen Netgear-Router hergenommen,
dessen LAN-Port in "ORANGE" hing.
Es stellte sich folgende Situation dar:
- Kein Ping von "GRÜN" auf die Netgear-Dose möglich
- Ping vom Fli auf die Netgear-Dose war möglich
- Kein Zugriff von "GRÜN" auf die Web-GUI der Netgear-Dose
- Keinerlei (zugehörige) Einträge im Syslog

Zuerst dachte ich natürlich (wie auch du) an die FW-Regeln, obwohl
diese ja eigentlich einen Eintrag im Syslog generieren sollten. Also
habe ich testweise mal alle Regeln aufgehoben und uneingeschränkte,
unmaskierte Kommunikation zwischen "GRÜN" und "ORANGE" zugelassen.
Trotzdem blieb das Problem bestehen!
Damit war für mich klar, dass es definitiv NICHT an den Regeln lag.

Einen weiteren Client, der in "ORANGE" hing, konnte ich übrigens von
"GRÜN" aus ohne Probleme anpingen. Das fand ich nun wirklich seltsam!

Dann kamm mir der zündende Gedanke...

Ich hatte die Netgear-Dose manuell mit einer IP versorgt, da das Teil
keine DHCP-Client Funktionalität bietet. Ich hatte an der Stelle
überhaupt nicht darauf geachtet, dass ich dort AUSSCHLIESSLICH die IP
und die Subnetzmaske eingeben konnte.
Na klar, dem Teil fehlte die Route für die Antwort!!! Schliesslich
hatte er ja keine IP vom DHCP und somit auch keinen Gateway bekommen.
Also durch die Config von der Netgear-Dose geschaut und manuell eine
statische Route für die Rückrichtung hinzugefügt...

Problem behoben!!! Alles klappt jetzt wunderbar.

Ich weiss ja nun nicht, was für einen AP du verwendest, aber wenn der
sich ähnlich verhält, solltest du dich mal auf die Suche nach einer
statisch konfigurierbaren Route im AP umsehen. Das erklärt jetzt
nämlich auch, warum im Syslog nichts steht. Es wird ja nichts geblockt,
der AP weiss einfach nur nicht, wo er die Antwort hinschicken soll.

Zur Vorsicht hier nochmal die gesamte FW-Config, die ich für den Test
verwendet habe:

PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_LOG='yes'
PF_INPUT_N='6'
PF_INPUT_1='tmpl:dns IP_NET_1 ACCEPT'
PF_INPUT_2='tmpl:dhcp IP_NET_1 ACCEPT'
PF_INPUT_3='tmpl:ssh IP_NET_1 ACCEPT'
PF_INPUT_4='tmpl:syslog IP_NET_1 ACCEPT'
PF_INPUT_5='IP_NET_1 any:8080 ACCEPT'
PF_INPUT_6='tmpl:dns IP_NET_2 ACCEPT'

PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='yes'
PF_FORWARD_N='5'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='state:ESTABLISHED,RELATED IP_NET_2 IP_NET_1 ACCEPT'
PF_FORWARD_4='IP_NET_2 IP_NET_1 REJECT'
PF_FORWARD_5='IP_NET_2 ACCEPT'

PF_OUTPUT_POLICY='ACCEPT'
PF_OUTPUT_ACCEPT_DEF='yes'
PF_OUTPUT_LOG='no'
PF_OUTPUT_N='0'

PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
PF_POSTROUTING_3='IP_NET_2 MASQUERADE'


Hoffe, das hilft dir weiter. Bereichte bitte mal.
Liebe Grüße,
Martin


Mehr Informationen über die Mailingliste Fli4L