[fli4l] Habe ich mir da ein offenes Scheunentor eingerichtet?
Stefan Puschek
stefan.puschek at t-online.de
Do Mai 18 16:10:17 CEST 2017
Hallo Peter,
...
>> einfacher DSL-Router mit 3.10.9 - opt-pppoe=yes
>> internes Netz 192.168.6.0/24
>>
>> davor hängt als reines DSL-Modem eine Fritzbox 3370 - mit 192.168.5.2 -
>> die FB routet also nicht!!!
>>
>> damit ich die FB "durch den Router hindurch" konfigurieren kann, habe
>> ich dem "PPPOE-interface" am Router (hier eth1) eine Netz 192.168.5.1/24
>> gegeben.
>>
>> Die FB stellt brav DSL bereit, hinter dem Router komme ich ins Internet,
>> ich komme an die FB dran, alles funktioniert.
>>
>> Was mich stutzig macht, ist dass ich den Webserver des fli4l über die
>> 192.168.5.1 - also das EXTERNE Interface erreiche. Über meine EXTERNE
>> DSL-IP erreiche ich ihn auch.
>>
>> Frage: habe ich was falsch gemacht, oder muss das so? Oder erreiche ich
>> ihn nur, weil die Anfrage von "innen" (also dem LAN) kommt?
>
> um da eine Aussage machen zu können, mu0t Du uns schon mal zeigen, wie Du
> den Paketfilter (PF_INPUT_* und PF_FORWARD_*) konfigiriert hast.
IP_NET_1 ist mein eigener Zoo (internes IF)
IP_NET_2 ist für Gäste (internes IF)
IP_NET_3 ist für das DSL_Modem (PPPOE-IF - also extern)
PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_N='2'
PF_INPUT_1='IP_NET_1 ACCEPT'
PF_INPUT_2='IP_NET_2 ACCEPT'
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_N='12'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='state:INVALID DROP'
PF_FORWARD_3='192.168.6.129 DROP NOLOG' # darf nicht raus
PF_FORWARD_4='mac:1c:af:f7:c9:b1:20 DROP NOLOG' # dito
PF_FORWARD_5='192.168.6.130 DROP NOLOG' # dito
PF_FORWARD_6='mac:00:b3:f6:00:4c:d5 DROP NOLOG' # dito
PF_FORWARD_7='mac:f4:f2:6d:56:66:81 DROP NOLOG' # dito
PF_FORWARD_8='mac:f4:f2:6d:00:da:2a DROP NOLOG' # dito
PF_FORWARD_9='IP_NET_1 IP_NET_2 DROP NOLOG'
PF_FORWARD_10='IP_NET_2 IP_NET_1 DROP NOLOG'
# KEINE Kommunikation zwischen den Gästen und meinen Maschinen
PF_FORWARD_11='IP_NET_1 ACCEPT' # accept everything else
PF_FORWARD_12='IP_NET_2 ACCEPT' # accept everything else
für IP_NET_3 gibts in der ganzen Liste keinen Eintrag
Groetjes
Stefan
Mehr Informationen über die Mailingliste Fli4L