[fli4l] DMZ mit 3.10.4

Thomas Grunenberg tho_gru at web.de
Di Nov 3 19:09:01 CET 2015


Am 02.11.2015 um 06:33 schrieb Thomas Grunenberg:
Hi Florian,
> Hi Florian,
>
>>>> Daher solltest du noch einen weiteren Eintrag vornehmen und
>>>> DNS_LISTEN_N um eins erhöhen:
>>>>
>>>> DNS_LISTEN_N='2' DNS_LISTEN_1='IP_NET_1_IPADDR'
>>>> DNS_LISTEN_2='IP_NET_2_IPADDR'
>>>>
>>> Leider ist das nicht die Lösung. Eingebaut, neu gestartet, geht
>>> nicht. Deinen Korrektur-Vorschlag wieder ausgebaut. Hinweis: Der
>>> Server in der DMZ ist so konfiguriert, dass er IP_NET_1_IPADDR als
>>> DNS-Server nutzt.
>>
>> Ja, das hättest du mal vorher erwähnen sollen :) Es fehlt mit
>> Sicherheit noch eine Firewall Regel, die den DNS Verkehr durch den
>> Router zu IP_NET_1_IPADDR erlaubt. Z.B.
>>
>> PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR 53 ACCEPT'
>
> Das scheitert mit der Meldung (aus mkfli4l.bat):
>      wrong value of variable PF_INPUT_4: 'IP_NET_2 IP_NET_1_IPADDR 53
>      ACCEPT' (please refer to the documentationno errormessage yetno
>      errormessage yet)
>
Damit die Regel nicht als fehlerhaft gemeldet wird muss sie wie folgt 
lauten:
PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR:53 ACCEPT'
(es fehlte ein Doppelpunkt vor der 53)

Leider hat diese Änderung die Lösung nicht gebracht, weil ja aller 
Traffic von der DMZ ins LAN (sprich IP_NET_1_IPADDR) mittels
PF_USR_CHAIN_2_RULE_1='IP_NET_2 IP_NET_1 REJECT'
unterbunden wird. Deswegen _konnte_ der Zugriff mit obiger Regel nicht 
einfach funktionieren. Vielleicht hätte ich mit Umsortieren den Zugriff 
von auf der DMZ auf den DNS-Server auf IP_NET_1_IPADDR erlauben können, 
dieser Gedanke war mir aber zu heiß (der Rechner in der DMZ wäre dann 
"mit einem Bein" im LAN).

Ich habe jetzt folgende Lösung umgesetzt:

1) DNS-Server auf dem Segment der DMZ lauschen lassen (wie von Dir 
vorgeschlagen):
DNS_LISTEN_N='2'
DNS_LISTEN_1='IP_NET_1_IPADDR' # LAN
DNS_LISTEN_2='IP_NET_2_IPADDR' # DMZ

2) Den Server in der DMZ so umkonfiguriert, dass er IP_NET_2_IPADDR als 
DNS-Server nutzt. Damit klappt das nun.

Danke für Deine Unterstützung.

Gruß
Thomas


Mehr Informationen über die Mailingliste Fli4L