[fli4l] Zwei Subnetze auf ?==?utf-8?Q?gleicher ethX - Probleme mi?==?utf-8?Q?t Trennung der beiden

K. Dreier usenetforum at gmx.net
So Jan 18 10:50:08 CET 2015 

Hallo,

(nutze 4.0 testing, aber Thematik sollte auch bei z.B. 3.6.x gleich
sein)

Ich habe beschlossen, diverse Geräte à la TV von meinem "normalen"
Netz zu trennen. Mein TV muss einfach nicht auf z.B. den NAS
(theoretischen) Zugriff haben. Bevor ich mich in Firewall rules verenne
und etwas falsch konfiguriere, was nachher alles nur noch schlimmer
macht, denke ich mir, dass es doch das Einfachste wäre, diese Geräte
einfach in ein anderes Netz zu stopfen. Oder?
Das klappt auch grundsätzlich (nutze noch dns_dhcp mit HOST_x_NAME
IP-Zuweisung etc). Habe 2 LAN-Karten.

Konkret schaut es bei mir so aus (base.txt):

IP_NET_N='3'
IP_NET_1='192.168.178.100/24'
IP_NET_1_DEV='eth1'

[IP_NET_2..., was mein Provider ist]
IP_NET_2_DEV='eth0'

IP_NET_3='192.168.1.100/24'
IP_NET_3_DEV='eth1'

PF_INPUT_N='3'
PF_INPUT_1='IP_NET_1 ACCEPT'
PF_INPUT_2='IP_NET_3 ACCEPT'
PF_INPUT_3='tmpl:samba DROP NOLOG'

PF_FORWARD_N='3'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_3 ACCEPT'

Mein TV hat damit nun eine 192.168.1.x IP. Gut. Das Setup führt weiter
dazu, dass alle Geräte (egal welches Netz) den fli4l (x.100) anpingen
können und (theoretisch, noch nicht ans WAN angeschlossen) ins Internet
kommen.

Interessanterweise aber führt es auch zu der Situation, die ich genau
nicht will:
Die Geräte von NET_3 können die von NET_1 anpingen (und damit
theoretisch "sehen"; alles LAN-only für den Moment, nicht auch WLAN),
umgekehrt aber geht es nicht. Letzteres wäre allerdings etwas, das ich
letztlich - Sahnehäubchen - gerne noch hätte, NET_1-Geräte sollen
also durchaus die NET_3-Geräte sehen dürfen.
Die arme-Leute-Lösung könnte natürlich sein, mein "Hauptnetz" einfach
auf NET_3 umzulegen, aber, äh, wirklich? Das kanns doch nicht sein,
oder?

Meine Suche für Lösungen zum Ping-Thema brachte den folgenden
Vorschlag (mit, natürlich, bei mir ...WARD_N='5'):
PF_FORWARD_4='192.168.1.0/24 192.168.178.0/24 ACCEPT'
PF_FORWARD_5='192.168.178.0/24 192.168.1.0/24 DROP'
Ergebnislos. Dann halt umdrehen:
PF_FORWARD_4='192.168.1.0/24 192.168.178.0/24 DROP'
PF_FORWARD_5='192.168.178.0/24 192.168.1.0/24 ACCEPT'
Bringt auch nichts, kann weiterhin von NET_3 das NET_1 anpingen und
umgekehrt nicht.

Firewall-rules sind irgendwie meine Feinde, weil ich es nicht wirklich
gänzlich blicke. Mir komplett unverständlich, warum die obigen Regeln
nicht zum Ergebnis führen und insbesondere wie es überhaupt sein kann,
dass ich von NET_3 das NET_1 anpingen kann? Müsste das nicht ganz
allgemein - Firewall rules hin oder her - per definitionem unmöglich
sein? Habe ich einen Denkfehler? Irgendwelche anderen Vorschläge?

Danke und Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4L