[fli4l] verkehrte Portweiterleitung

[Frank Hartwig]

Moin,

Am 23.03.2016 um 13:08 schrieb Christoph Schulz:

> Mit
>
>    PF_FORWARD_1='192.168.100.31 any:22 ACCEPT'
>    PF_POSTROUTING_1='192.168.100.31 any:22 MASQUERADE'
>
> solltest du dein Ziel erreichen.
>
> Bedenke jedoch bitte, dass alle deine hier aufgeführten Regeln sehr lax
> sind. Zum Beispiel erlaubt
>
>    PF_FORWARD_1='192.168.100.30 ACCEPT'
>
> nicht nur dem Rechner .30 den Zugang ins Internet, sondern in jedes andere
> LAN, das am Router hängt. Das mag erwünscht sein, widerspricht jedoch dem
> genannten Zweck. Und sag nicht, du hättest nur ein LAN -- heute vielleicht,
> morgen vielleicht nicht mehr. Und ob du dann alle Regeln durchgehst und
> diese Fälle findest...?

OK, habe ich verstanden.

> Besser, man formuliert die Regeln gleich strikt, etwa so:
>
>    PF_FORWARD_1='if:any:pppoe 192.168.100.30 ACCEPT'
>
> Also: Alle Pakete, die vom Router von 192.168.100.30 an die pppoe-
> Schnittstelle weitergeleitet werden sollen, werden durchgelassen.


Also in meinem speziellen Fall (für Port 22)

PF_FORWARD_1='if:any:pppoe 192.168.100.31 any:22 ACCEPT' ??

das kommt mir falsch vor.


> Eine abschließende Bemerkung: Maskierung  hat nichts mit Filtern zu tun;
> damit meine ich, dass ob maskiert wird oder nicht nicht von
> Zugangsberechtigungen o.ä. abhängt. Insofern würde ich die Maskierungsregel
> generell so schreiben:
>
>    PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
>
> (wenn IP_NET_1 dein 192.168.100.0/24-LAN meint). Das stört ja nicht für all
> die Rechner, die nicht hinausdürfen, weil deren Pakete schon viel früher
> herausgefiltert wurden. Und du brauchst nur genau einen Eintrag in der
> POSTROUTING-Kette und nicht pro LAN-Rechner mit Sonderrechten einen. Das
> macht die Konfiguration übersichtlicher.

Also wer nicht in der Forward-Regel steht, kommt eh nicht bis hierher 
und dann kann die etwas allgemeine Regel auch nicht schaden.


Schon mal besten Dank, mein Verständnis wächst.


Gruß Frank