[fli4l] DMZ mit Fli4l 3.10.1

Torsten Kästel torsten.kaestel at cgnf.net
Sa Jan 31 12:20:14 CET 2015 

Hallo Christoph,

vielen Dank für die Hilfe und Erklärung. Damit funktioniert jetzt auch 
der Zugriff aus der DMZ auf DNS wieder.

DHCP und Ident sind wohl überflüssig, zumindest läuft hier alles auch 
ohne die beiden Input-Regeln.

Bei den Forward-Regeln habe ich mich jetzt an das Wiki gehalten, so dass 
die DMZ jetzt nicht ins LAN kann aber ins Internet kann.

Wäre super, wenn im Wiki auf die Input-Regeln noch hingewiese würde bzw. 
ein Beispiel aufgenommen wird.

Beste Grüße
Torsten


Am 30.01.2015 um 20:55 schrieb Christoph Schulz:
> Hallo!
>
> Torsten Kästel schrieb:
>
>> Nun stehe ich vor dem Problem, die in der alten Konfiguration
>> vorhandenen Möglichkeiten z.B.
>>
>> DMZ_ORANGE_ROUTER_N='4'
>> DMZ_ORANGE_ROUTER_1='tmpl:dns ACCEPT'    # allow access to dns
>> DMZ_ORANGE_ROUTER_2='113 ACCEPT'         # allow access to Ident
>> DMZ_ORANGE_ROUTER_3='tmpl:syslog ACCEPT' # allow access to syslog
>> DMZ_ORANGE_ROUTER_4='tmpl:dhcp ACCEPT'    # allow access to dhcp
>>
>> irgendwie mit den jetztigen Regeln abzubilden.
>>
>> Kann mit dabei jemand eine Tipp geben? Welche Regeln muss ich
>> definieren, dass die Rechner aus der DMZ (eth1, IP_NET_2) auf den Router
>> zugreifen können?
>
> PF_INPUT_1='tmpl:dns IP_NET_2 ACCEPT'
> PF_INPUT_2='IP_NET_2 any:113 ACCEPT'
> PF_INPUT_3='tmpl:syslog IP_NET_2 ACCEPT'
> PF_INPUT_4='tmpl:dhcp IP_NET_2 ACCEPT'
>
> Eigentlich ganz simpel. Du erlaubst die entsprechenden Zugriffe auf den
> fli4l (= INPUT-Kette) von deiner DMZ aus (= IP_NET_2).
>
>> Und welche Regeln brauche ich, um von der DMZ ins Internet zu kommen
>> z.B. für http?
>
> Das ist ein Zugriff *über den Router hinweg*, also die FORWARD-Kette. Falls
> du z.B. DSL nutzt, wäre dies die ausgehende Schnittstelle "pppoe" und somit
> die folgende Regel:
>
> PF_FORWARD_1='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
>
> Allerdings musst du aufpassen, dass du deine Einschränkungen _vorher_
> formulierst, damit sie vorher greifen. Lässt du das "if:eth1:pppoe" oben
> weg, dann darf deine DMZ auch via HTTP auf z.B. Rechner in IP_NET_1
> zugreifen! Willst du das verhindern, muss diese Regel _vorher_ erscheinen:
>
> PF_FORWARD_1='IP_NET_2 IP_NET_1 REJECT'
> PF_FORWARD_2='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
>
> Das hier
>
> PF_FORWARD_1='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
> PF_FORWARD_2='IP_NET_2 IP_NET_1 REJECT'
>
> funktioniert (für HTTP-Verbindungen) nicht, weil die erste Regel bereits
> solche Verbindungn aus IP_NET_2 überallhin (also auch ins IP_NET_1) erlaubt
> und die zweite Regel somit nicht mehr zum Zuge kommt. (Sie gilt natürlich
> für alle anderen Protokolle, die nicht Port 80 nutzen.)
>
>
> Viele Grüße,
>

---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
http://www.avast.com

Mehr Informationen über die Mailingliste Fli4L