[fli4l] fli4l als reiner Ethernet-Router

Sebastian Klein fli4l at wysiwyng.de
Do Mär 19 08:10:11 CET 2015


Moin moin,

Am 19.03.15 um 07:57 schrieb Martin Dresbach:

> Wenn es so ist, muss der Fli noch die nötigen Routen eingetragen
> bekommen. Natürlich muss der IPCop auch das entsprechende Forwarding
> zwischen den Netzen erlauben und die entsprechende Route zum IP_NET_2
> haben. Da ich von IPCop aber keine Ahnung habe, musst du dich da selber
> drum kümmern. Rein logisch müsste die Route auf dem IPCop folgenden
> aufbau haben:
> 
> Zielnetz: 192.169.13.0/24
> Gateway: 192.168.12.11
> Schnittstelle: 192.168.12.10
> 
> Auf der Seite vom Fli brauchst du auf jeden Fall zusätzlich zur
> Default-Route noch Routen in die anderen Netze des IPCop.
> Also insgesamt sollte das dann in etwa so aussehen:
> 
> IP_ROUTE_N='3'
> IP_ROUTE_1='0.0.0.0/0 192.168.12.10' # default route zum IPCop
> IP_ROUTE_2='aaa.aaa.aaa.aaa/bb 192.168.12.10' # Route zum
> IPCop-verwalteten LAN 1
> IP_ROUTE_3='xxx.xxx.xxx.xxx/yy 192.168.12.10' # Route zum
> IPCop-verwalteten LAN 2

nicht ganz richtig, man kann den fli4l auch einfach ein wenig "dumm"
halten, denn die default route reicht hier aus, da der IPCop ja seine
Netze kennt und weiß damit um zu gehen. Natürlich müssen beim IPCop
entsprechende Regeln existieren.

> Außerdem muss der Fli auch das Forwarding in die IPCop-verwalteten
> Netze erlauben. Bisher kommst du mit deiner FORWARD-Regel nämlich genau
> bis zum IPCop (und somit auch ins WAN), aber nicht in seine anderen
> Netze.

Naja auch nicht ganz wahr, denn über die default Route und den dazu
gehörigen Regeln kommt man auch in die anderen Netze (sofern es vom
IPCop erlaubt wird)

> Entweder erlaubst du also einfach eine uneingeschränkte Kommunikation
> in alle Netze (Lösung 1), oder gibst die zugelassenen Netze explizit an
> (Lösung 2).
> 
> Lösung 1:
> 
> PF_FORWARD_N='1'
> PF_FORWARD_1='any any ACCEPT BIDIRECTIONAL' # freie Kommunikation
> 
> 
> Lösung 2:
> 
> PF_FORWARD_N='3'
> PF_FORWARD_1='IP_NET_2 IP_NET_1 ACCEPT BIDIRECTIONAL' # freie
> Kommunikation
> PF_FORWARD_2='IP_NET_2 aaa.aaa.aaa.aaa/bb ACCEPT BIDIRECTIONAL' # freie
> Kommunikation zum IPCop-verwalteten LAN 1
> PF_FORWARD_3='IP_NET_2 xxx.xxx.xxx.xxx/yy ACCEPT BIDIRECTIONAL' # freie
> Kommunikation zum IPCop-verwalteten LAN 2

Hier kommt es wieder auf die Config des IPCop an, denn der kann entweder
einfach routen ohne die Source IP zu ändern, oder er macht beim routing
auch ein NAT. In dem Fall würden nie Pakete mit IPs aus den andern IPCop
Netzen zum fli4l kommen.

-- 
viele Grüße,
Sebastian
[fli4l-team]


Mehr Informationen über die Mailingliste Fli4L