[fli4l] eingeschränktes Portforwarding in 3.10
Christoph Schulz
fli4l at kristov.de
Do Mär 26 22:32:25 CET 2015
Hallo!
Stefan Puschek schrieb:
> PF_PREROUTING_1='dynamic:10000-10100 DNAT:192.168.6.7'
> PF_PREROUTING_2='dynamic:5060 DNAT:192.168.6.7'
> [...]
> Dies möchte ich zukünftig einschränken _NUR_ auf Pakete die von sipgate.de
> kommen. Pakete die _NICHT_ von sipgate.de kommen (aber mit Zielport
> 10000-10100 oder 5060) sollen gedropped werden.
Du kannst keine DNS-Namen in PREROUTING-Regeln verwenden.
fli4l bringt mit der 3.10.1 eine solche Funktion für aus dem LAN
_ausgehende_ Pakete (FORWARD) mit, d.h. du kannst eine Regel angeben, welche
die ausgehende Kommunikation zu (z.B.) windowsupdate.microsoft.com erlaubt,
*.microsoft.com aber ansonsten sperrt. Das funktioniert aber nicht mit
PREROUTING, wo die Pakete von _außen_ kommen.
Alles, was du machen kannst ist, dir alle Adressen von sipgate.de zu
besorgen ("dig", "host", "nslookup" etc. sind hier deine Freunde) und diese
numerisch in die Regeln einzutragen, also z.B. so:
PF_PREROUTING_1='217.10.79.9 dynamic:10000-10100 DNAT:192.168.6.7'
PF_PREROUTING_2='217.10.79.9 dynamic:5060 DNAT:192.168.6.7'
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L