[fli4l] fli4l als reiner Ethernet-Router

Sebastian Klein fli4l at wysiwyng.de
Do Mär 19 08:57:05 CET 2015 

Hoi,

Am 19.03.15 um 08:46 schrieb Martin Dresbach:

>> nicht ganz richtig, man kann den fli4l auch einfach ein wenig
>> "dumm"
>> halten, denn die default route reicht hier aus, da der IPCop ja
>> seine
>> Netze kennt und weiß damit um zu gehen. Natürlich müssen beim
>> IPCop
>> entsprechende Regeln existieren.
> 
> 
> Da stimme ich dir zu, irgendwie stand ich da wohl mal wieder etwas unter
> Kaffee-Entzug. :) Aber funktionieren würde es dennoch mit meinen
> Einträgen, sie wären nur an sich überflüssig, oder etwa nicht?

Jepp wären einfach überflüssig bzw. würden auch nie greifen.

> Zitat:
>> Naja auch nicht ganz wahr, denn über die default Route und den
>> dazu
>> gehörigen Regeln kommt man auch in die anderen Netze (sofern es
>> vom
>> IPCop erlaubt wird)
> 
> 
> Da stimme ich dir nur bedingt zu, denn mit der einen Regel, die Matthias
> ursprünglich hatte würde das meiner Meinung nach nicht zutreffen. Wenn
> seine einzige Regel PF_FORWARD_1='IP_NET_2 ACCEPT BIDIRECTIONAL' lauten
> würde, dann schon. Besonders der Teil mit "BIDIRECTIONAL" würde aber
> doch auf keinen Fall von den Standard-Regeln abgedeckt. Und _das_ kann
> der IPCop ja (zum Glück) nun nicht wirklich beeinflussen.
> Natürlich trifft meine Aussage nur zu, falls der IPCop kein NAT ins LAN
> macht. Ansonsten hättest du natürlich völlig recht.

Genau, ohne NAT würde es nicht klappen mit der "originalen" Regel.

> Zitat:
>> In dem Fall würden nie Pakete mit IPs aus den andern IPCop
>> Netzen zum fli4l kommen.
> 
> 
> Das müsstest du mir jetzt aber bitte mal genauer erklären. Wenn der
> IPCop NAT ins LAN betreibt, hätten ja alle Pakete zum Fli die Source-IP
> 192.168.12.10. Diese gehört auf Seite des Fli zum IP_NET_1 und käme
> durch (meine) FORWARD-Regeln auch in das IP_NET_2 durch. Sowohl bei
> Lösung 1, als auch bei Lösung 2.

Ja das ist richtig.
Wenn jetzt ein Paket aus IPCop Netz a kommt und über IPCop Netz b hinter
den fli4l will und der IPCop NAT macht, dann sieht der fli4l nie eine IP
aus Netz a, sondern immer nur eine aus Netz b (nämlich die des IPCop in
Netz b)

-- 
viele Grüße,
Sebastian
[fli4l-team]

Mehr Informationen über die Mailingliste Fli4L