[fli4l] 3 Unabhängige Netze mit Paketfilter

Markus Homburg zielscheibe at gmx.li
Mo Mär 9 23:29:10 CET 2015


On 07.03.2015 20:54, Martin Dresbach wrote:
> Hallo Markus.
Hallo Martin,

> Ich gehe davon aus, dass alle drei Netze ins WAN dürfen, oder?
Ja, alle drei sollen ins www.

> Kommunikation ist zwischen allen Netzen untereinander verboten, wenn ich
> das richtig verstehe.
Ja, auch das ist korrekt.

> Interessant wäre dabei aber zu wissen, wie deine Einwahl ins WAN
> erfolgt. Also DSL, ISDN, Kabelmodem...
ADSL

> Wenn ich von einer gewöhnlichen DSL-Anbindung ausgehe, könntest du das
> mit zwei simplen FORWARD-Regeln lösen:
> 
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_N='2'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='if:any:pppoe ACCEPT'

Wenn ich also explizit keine Verbindung zwischen den Netzen erlaube, ist
diese also eh schon verboten?

D.h. folgende (umständlich formulierte) Regel, erreicht das gleiche?
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1:pppoe ACCEPT'
PF_FORWARD_3='IP_NET_2:pppoe ACCEPT'
PF_FORWARD_4='IP_NET_3:pppoe ACCEPT'

Wenn ich dann aber z.B. für das 3. Netz noch Dienste verbieten möchte,
muss ich das Netz wie oben aufschlüsseln und kann das z.B. https und ssh
verbieten.
[...]
PF_FORWARD_4='IP_NET_3:pppoe tmpl:https DROP'
PF_FORWARD_5='IP_NET_3:pppoe tmpl:ssh DROP'
PF_FORWARD_6='IP_NET_3:pppoe ACCEPT'


> Liebe Grüße,
> Martin

Viele Grüße
 Markus




Mehr Informationen über die Mailingliste Fli4L