[fli4l] 3 Unab?==?utf-8?Q?hängige Netze mit Paketfi?==?utf-8?Q?lter
Martin Dresbach
martin.dresbach at arcor.de
Di Mär 10 03:46:08 CET 2015
Hallo Markus.
Um deine Fragen aber letztendlich noch zu beantworten (und Christoph zu
ergänzen)...
Zitat:
> Wenn ich also explizit keine Verbindung zwischen den Netzen erlaube,
> ist diese also eh schon verboten?
Genau dafür sorgt halt deine verwendete Standard-Policy, also in meinem
Beispiel halt PF_FORWARD_POLICY='REJECT'. Die Regeln, die du erstellst
(und auch die Standardregeln, falls aktiv) sind also Ausnahmen bzw.
Abweichungen von diesem Standardverhalten.
Zitat:
> Wenn ich dann aber z.B. für das 3. Netz noch Dienste verbieten
> möchte,
> muss ich das Netz wie oben aufschlüsseln und kann das z.B. https
> und ssh
> verbieten.
Abgesehen von deiner falschen Syntax stimmt deine Idee aber FAST. Das
Aufschlüsseln der Netze kannst du dir auch sparen, solange die
Reihenfolge der Regeln stimmt. Natürlich KANNST du sie auch
aufschlüsseln, aber warum mehr Arbeit machen als nötig? Um also wie in
deinem (falschen) Beispiel https und ssh NUR für das IP_NET_3 zu
verbieten würden die kompletten Regeln so aussehen:
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_N='4'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='tmpl:https if:IP_NET_3_DEV:pppoe DROP'
PF_FORWARD_3='tmpl:ssh if:IP_NET_3_DEV:pppoe DROP'
PF_FORWARD_4='if:any:pppoe ACCEPT'
Liebe Grüße,
Martin
Mehr Informationen über die Mailingliste Fli4L