[fli4l] Problem mit de?==?utf-8?Q?r neuen Portweiterleitung u?==?utf-8?Q?nd Shares

Christoph Schulz fli4l at kristov.de
Di Mai 10 07:56:54 CEST 2016 

Hallo!

Zitat: meter.paler schrieb am Mo, 09 Mai 2016 14:00
----------------------------------------------------
> Aus:
> PORTFW_N='13'           
> PORTFW_1_TARGET='IP_NET_3:55570'
> PORTFW_1_NEW_TARGET='192.168.3.200:80'
> PORTFW_1_PROTOCOL='tcp' 
> 
> wurde z.B.:
> PF_PREROUTING_N='13'            
> PF_PREROUTING_1='prot:tcp IP_NET_3:55570 DNAT:192.168.3.200:80'   
> und              
> PF_PREROUTING_1='prot:tcp IP_NET_3 dynamic:55570
> DNAT:192.168.3.200:80'   
> und
> PF_PREROUTING_1='prot:tcp dynamic:55570 DNAT:192.168.3.200:80'   

Ähm, du meinst sicherlich:

PF_PREROUTING_1='...'
PF_PREROUTING_2='...'
PF_PREROUTING_3='...'

Dreimal PF_PREROUTING_1 zu setzen sollte bereits von mkfli4l
zurückgewiesen werden.

> Aus:
> [...]
> PF_FORWARD_N='2'
> PF_FORWARD_1='IP_NET_1 ACCEPT'  
> PF_FORWARD_2='IP_NET_2 ACCEPT'  
> PF_POSTROUTING_N='2'
> PF_POSTROUTING_1='IP_NET_1 MASQUERADE' 
> PF_POSTROUTING_2='IP_NET_2 MASQUERADE'
> 
> wurde nach lesen der Beispiele nun:
> [...]
> PF_FORWARD_N='3'
> PF_FORWARD_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_2='IP_NET_1 ACCEPT' 
> PF_FORWARD_3='IP_NET_2 ACCEPT'

Die erste Regel ist überflüssig, wenn du die anderen beiden hast.
Regel 2 und Regel 3 besagen: Leite Pakete aus IP_NET_1 und IP_NET_2
immer weiter. Regel 1 besagt: Leite Pakete aus IP_NET_1 an IP_NET_2 und
umgekehrt (also aus IP_NET_2 an IP_NET_1) weiter. Wie du siehst, sind
Regel 2 und 3 allgemeiner als Regel 1, somit kann Regel 1 entfallen.

> PF_POSTROUTING_N='3'          
> PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_2='IP_NET_1 MASQUERADE'
> PF_POSTROUTING_3='IP_NET_2 MASQUERADE'

Und das ist vermutlich dein Problem. Ich weiß nicht, warum du diese
Änderung vorgenommen hast. Vorher hat du Pakete zwischen den Netzen
(auch den internen) immer maskiert. Jetzt machst du das nicht mehr, denn
Regel 1 sagt: Wenn ein Paket von IP_NET_1 nach IP_NET_2 (oder umgekehrt)
soll, dann maskiere es nicht (ACCEPT). Ich würde als erstes diese Regel
entfernen und dann schauen, ob damit dein Problem behoben ist.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L