[fli4l] PF_INPUT - ein paar Verständnisfragen

[Peter Schiefer]

Hallo Klaus,

Am Sat, 31 Jan 2015 15:02:18 +0100 schrieb K. Dreier:

> PF_POSTROUTING_1='IP_NET_1 IP_NET_3 ACCEPT BIDIRECTIONAL'
> will ich das wirklich? Was _genau_ heisst "Regel der POSTROUTING-Kette
> sorgt dafür, dass die Kommunikation zwischen den Subnetzen unmaskiert
> erfolgt"? Ist das in irgendeiner Weise sicherheitstechnisch relevant?

Durch diese Regel greif dann wirklich die IP aus NET1 auf das Ziel im NET3
zu - es witrd also keinerlei Adressmanipulation/Ersetzung durch den fli4l
vorgenommen -> 

> PF_POSTROUTING_2='IP_NET_1 MASQUERADE'

heist ja das die Source-Adress der Quelle aus IP_NET_1 mit der Adresse des
fli4l ersetzt wird -> d.h. das Ziel sieht als Zugriffspartner den fli4l und
nicht din Client aus NET1

> PF_POSTROUTING_3='IP_NET_3 MASQUERADE'

heist ja das die Source-Adresse der Quelle aus IP_NET_3 mit der Adresse des
fli4l ersetzt wird -> d.h. das Ziel sieht als Zugriffspartner den fli4l und
nicht den Client aus NET3

> PF_POSTROUTING_2='if:any:dhcp MASQUERADE'
> schreiben? Nutze 1 dhcp circuit als WAN-Zugang.

bis auf die Syntax any:dhcp (das dhcp ist falsch da müsste das
Ausgangsinterface hin) wäre das möglich.

Ich hab hier
PF_FORWARD_9='if:any:pppoe ACCEPT'
PF_FORWARD_9_COMMENT='Alle Netze <-> DSL'
PF_*_COMMENT ein um die Regel entsprechend zu kommentieren - der Kommentar
erscheint dann z.B. im Webgui bei den Firewallregeln


Gruß Peter