[fli4l] 2 Netzwerke - ?==?utf-8?Q?Probleme mit Erreichbarkei?==?utf-8?Q?t 1->2

K. Dreier usenetforum at gmx.net
Di Dez 6 13:40:44 CET 2016 

Jetzt muss ich mich schon wieder selber zitieren...

> PF_POSTROUTING_1='if:any:IP_NET_2_DEV IP_NET_1
> SNAT:IP_NET_2_IPADDR'
>                   |-------(a)-------| |-(b)--| |--------(c)-------|
> 
> zu verwenden ("alle Pakete, die über die Schnittstelle von Netz 2
> hinausgehen (a) und die aus Netz 1 kommen (b), sollen im Netz 2 so
> aussehen,
> als kämen sie vom Router mit der Adresse der Schnittstelle zu Netz
> 2 (c)").

Was mich hier gerade irritiert ist die Aussage "die über die
Schnittstelle von Netz 2 hinausgehen". Die Standard-Konfig dürfte doch
so sein, daß alles, was aus Netz2 "hinausgeht", also z.B. entweder in
Netz1 oder ins Internet, sowieso so "aussieht" als käme es aus Netz2.
Denn es _kommt_ ja in der Tat aus Netz2. Wenn etwas aus Netz1 in Netz2
wandert, dann wird es doch - wenn es weiter via NET_2_DEV nach aussen
geht -  faktisch zu etwas, das aus Netz2 kommt? Oder was verstehe ich
hier wieder nicht richtig?

So oder so: das Beispiel oben würde mir wohl gar nicht helfen. Denn ich
will ja, daß etwas, das aus Netz1 kommt, für einen Client _im_ Netz2
so aussieht, als käme es aus Netz2 - aber eben unabhängig davon, ob es
dann vom Netz2 weiter geht (nach aussen oder wo immer hin). Im
Gegenteil, eigentlich interessiert mich nur, was innerhalb des Netz2 als
LAN passiert.

Ich versuche mal eine Version, die für mich passen könnte. Hier kurz
mein Netz-Aufbau (anders als oben!):
IP_NET_1 ist meine WAN-Schnittstelle (dhcp)
IP_NET_2 ist mein "trusted" LAN1
IP_NET_3 ist das Netz (LAN2), was zwar auch ins Internet darf, aber
grundsätzlich LAN1 nicht sehen soll (umgekehrt aber schon) und in dem
ein AVR-client sitzt, den ich aktuell nicht aus LAN1 erreichen kann.
FoOrward-Regeln sind entsprechend gesetzt, mit Standard auf 'yes' und
REJECT. Funktioniert - bis auf das AVR-Problem - einwandfrei.

Postrouting sieht so aus:
PF_POSTROUTING_N='x'
PF_POSTROUTING_1'IP_NET_2 IP_NET_3 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_2='IP_NET_2 MASQUERADE'  # maskiere Pakete, die das
Subnetz verlassen
PF_POSTROUTING_3='IP_NET_3 MASQUERADE'  # maskiere Pakete, die das
Subnetz verlassen

Ich habe also aktuell kein Masquerading zwischen LAN1 und LAN2.

Was nun, wenn ich etwas mache im Stile von:
PF_POSTROUTING_1='IP_NET_2 @AVR-client-LAN2 SNAT:IP_NET_3_IPADDR'
      # alle Pakete vom LAN1-client bzw. dem gesamten LAN1 an den
LAN2-client so umschreiben, als wären sie
      # vom fli4l-LAN2 (IP_NET_3_IPADDR)
Das müsste dann als neuer _1-Eintrag stehen, richtig? Oder macht der
obige _1-Eintrag (der dann _2 wird) die neue _1-Regel "kaputt"?
Wäre obiger Eintrag zielführend?

Puh, diese elendigen Firewall-Probleme! :( Ich finde das so unglaublich
kompliziert...

Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4L