[fli4l] Paketfilter Reihenfolge,c3surf

Frank S. potsdam at nurfuerspam.de
Di Sep 27 18:05:38 CEST 2016


Hallo Matthias,

habe mal wieder vorbei geschaut.

Das IP_NET_4 ist das von c3Surf abgesicherte, und der TS kann in andere
Netze antworten.

> ... das würde dann so in der Datei c3surf_extrafilter_forward aussehen:
> 
> ins_rule filter c3surf_control "prot:TCP IP_NET_4
> [IP-Adresse-des-TS]:3389 ACCEPT" 1 "mein Kommentar"
> 
> oder wird das "ACCEPT" zu "RETURN" ...ich muss da mal die Entwicklerdoku
> befragen...

ACCEPT: die Regelkette endet nach dieser Regel, alle folgenden Regeln
aus der Basis-Config werden nicht mehr beachtet. Paket wird geliefert.

RETURN: Regeln aus der Basis-Config werden auch noch ausgeführt. Wenn
dort nichts mehr verboten wird, geht das Datenpaket raus.

Beides wird funktionieren. Für konzeptuelle Reinheit, wäre RETURN gut,
ist aber eher akademisch. ;-)

ins_rule filter c3surf_control "prot:tcp 3389 $IP_NET_4
 [IP-Adresse-des-TS] RETURN" 1 "dein Kommentar"

Beachte das "$" vor IP_NET_4, damit weiß die shell, dass es eine
Variable ist.

Den Port hinter das "prot:tcp" anstellen. Aber ganz ehrlich gesagt, das
ist alles so lange her, daher erinnere ich mich nicht genau. Ich habe
die "fwrules.tmpl" dafür erstellt und dort steht "prot:tcp port" drin,
daher schlage ich die Verschiebung des ports vor.


Viel Erfolg.

Gruß
Frank


Mehr Informationen über die Mailingliste Fli4L