[fli4l] PF_PREROUTING-Regeln für geroutete IPs auf dem DSL-Anschluss

[Christoph Schulz]

Hallo!

Alexander Bahlo schrieb:

>> fli4l-Version?
> 
> 3.10.7
> 
> Ich halte es deshalb für einen Fehler, weil die Angabe in der Web-GUI
> in .../admin/portfw.cgi ja quasi "unmittelbar" aus dem gleichlautenden
> Filterdefinition im Config-File in PF_PREROUTING herrührt und dort ja
> mit tmpl:irgendwas auf Ports eingeschränkt werden kann und genau diese
> Beschreibung in das entsprechende Feld der Web-GUI übernommen werden
> und auch nur genau diese Ports funktionieren. Wenn ich nun dasselbe
> aber in der Web-GUI eintrage, dann werden plötzlich alle Ports
> 1:1 weitergeleitet. Die von mir benutzte Action ist DNAT.

Damit wir wieder nicht aneinander vorbeireden:

1) Ich brauche eine Liste der Felder, die du in der WebGUI ausfüllst und 
"abschickst", d.h. Feldname und Inhalt.

2) Ich brauche danach den Inhalt der entsprechenden Firewall-Tabelle. Diese 
kannst du auf der fli4l-Kommandozeile über den folgenden Befehl gewinnen:

  iptables -t nat -vnL PORTFW

Ich habe bei fli4l 3.10.7 gerade testweise eine Portweiterleitung über die 
Web-Oberfläche mit Schablone (tmpl:https) angelegt und sie hat funktioniert. 
Das Ergebnis ist laut iptables:

slide 3.10.7-r46287MP # iptables -t nat -vnL PORTFW
Chain PORTFW (1 references)
 pkts bytes target     prot opt in     out     source               
destination         
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            
192.168.15.128       tcp dpt:443 /* PF_PREROUTING_1=' tmpl:https prot:tcp 
any dynamic DNAT:192.168.11.254' (PLACEHOLDER:1) */ to:192.168.11.254

Hier sieht man, dass der Zielport "443" aus der https-Schablone übernommen 
wurde.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]