[fli4l] DMZ mit Fli4l 3.10.1

Christoph Schulz fli4l at kristov.de
Fr Jan 30 20:55:08 CET 2015 

Hallo!

Torsten Kästel schrieb:

> Nun stehe ich vor dem Problem, die in der alten Konfiguration
> vorhandenen Möglichkeiten z.B.
> 
> DMZ_ORANGE_ROUTER_N='4'
> DMZ_ORANGE_ROUTER_1='tmpl:dns ACCEPT'    # allow access to dns
> DMZ_ORANGE_ROUTER_2='113 ACCEPT'         # allow access to Ident
> DMZ_ORANGE_ROUTER_3='tmpl:syslog ACCEPT' # allow access to syslog
> DMZ_ORANGE_ROUTER_4='tmpl:dhcp ACCEPT'    # allow access to dhcp
> 
> irgendwie mit den jetztigen Regeln abzubilden.
> 
> Kann mit dabei jemand eine Tipp geben? Welche Regeln muss ich
> definieren, dass die Rechner aus der DMZ (eth1, IP_NET_2) auf den Router
> zugreifen können?

PF_INPUT_1='tmpl:dns IP_NET_2 ACCEPT'
PF_INPUT_2='IP_NET_2 any:113 ACCEPT'
PF_INPUT_3='tmpl:syslog IP_NET_2 ACCEPT'
PF_INPUT_4='tmpl:dhcp IP_NET_2 ACCEPT'

Eigentlich ganz simpel. Du erlaubst die entsprechenden Zugriffe auf den 
fli4l (= INPUT-Kette) von deiner DMZ aus (= IP_NET_2).

> Und welche Regeln brauche ich, um von der DMZ ins Internet zu kommen
> z.B. für http?

Das ist ein Zugriff *über den Router hinweg*, also die FORWARD-Kette. Falls 
du z.B. DSL nutzt, wäre dies die ausgehende Schnittstelle "pppoe" und somit 
die folgende Regel:

PF_FORWARD_1='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'

Allerdings musst du aufpassen, dass du deine Einschränkungen _vorher_ 
formulierst, damit sie vorher greifen. Lässt du das "if:eth1:pppoe" oben 
weg, dann darf deine DMZ auch via HTTP auf z.B. Rechner in IP_NET_1 
zugreifen! Willst du das verhindern, muss diese Regel _vorher_ erscheinen:

PF_FORWARD_1='IP_NET_2 IP_NET_1 REJECT'
PF_FORWARD_2='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'

Das hier

PF_FORWARD_1='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
PF_FORWARD_2='IP_NET_2 IP_NET_1 REJECT'

funktioniert (für HTTP-Verbindungen) nicht, weil die erste Regel bereits 
solche Verbindungn aus IP_NET_2 überallhin (also auch ins IP_NET_1) erlaubt 
und die zweite Regel somit nicht mehr zum Zuge kommt. (Sie gilt natürlich 
für alle anderen Protokolle, die nicht Port 80 nutzen.)


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L