[fli4l] Routing und SNAT
Christoph Schulz
fli4l at kristov.de
Fr Jan 22 08:50:15 CET 2016
Hallo!
Matthias Taube schrieb:
> Ich habe
>
>> PF_FORWARD_4='IP_NET_1 ACCEPT NOLOG'
>> PF_FORWARD_9='IP_NET_4 ACCEPT NOLOG'
>
> Und kein Masquerade zwischen den internen Netzen:
>> PF_POSTROUTING_1='if:any:{dsl-ipv4} MASQUERADE'
OK.
> Ein Client an IP_NET_4 angeschlossen kann auf den WLAN AP im IP_NET_4
> zugreifen, der gleiche Client kann das aus dem IP_NET_1 nicht.
Ist dieser Client *gleichzeitig* an IP_NET_1 *und* IP_NET_4 angeschlossen?
>
> Nun war meine Idee, das der Client aus dem IP_NET_1 beim Zugriff auf den
> WLAN-AP im IP_NET_4 eine Absender-IP aus dem IP_NET_4 erhält:
>
>> PF_POSTROUTING_2='@odin @wlan-router SNAT:192.168.27.212'
*Irgendeine* Adresse wird nicht gehen, du musst schon eine nehmen, die dem
fli4l zugewiesen ist. Deshalb wird dort normalerweise IP_NET_x_IPADDR
verwendet, wie in deinem ersten Beitrag. Ich würde es so formulieren:
PF_POSTROUTING_2='IP_NET_1 @wlan-router SNAT:IP_NET_4_IPADDR'
(Und natürlich muss PF_POSTROUTING_N >= 2 gelten ;-)
> umgekehrt soll der AP, wenn er nun dem vermeintlichen Absender
> antwortet, auf die echte Adresse umgeroutet werden:
>
>> PF_PREROUTING_5='@wlan-router 192.168.27.212 DNAT:@odin'
Das macht es u.U. wieder kaputt ;-) Die SNAT-Regel schreibt das Ziel um
*und* sorgt dafür, dass wenn Antworten zurückkommen, bei denen *auch* das
Ziel wieder umgeschrieben wird. Diese DNAT-Regel macht das zweite
Umschreiben aber kaputt, da das Ziel nicht mehr passt, und somit kommt die
Verbindungsverwaltung auf dem fli4l (conntrack) vermutlich durcheinander.
Ich schreibe "vermutlich", weil ich mir nicht zu 100% sicher bin, zu welchem
Zeitpunkt das SNAT-Umschreiben bei der Antwort geschieht.
Lass doch einfach diese DNAT-Regel weg und probiere meine obige SNAT-Regel
aus.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L