[fli4l] Forwarding - Hilfe benötigt
Klaus Backhaus
backhaus at tu-harburg.de
Mi Mai 31 13:50:44 CEST 2017
Hallo Sebastian:
> Am 31.05.17 um 09:39 schrieb Klaus Backhaus:
>> Moin Allerseits,
>>
>> Habe folgende Situation:
>> Ein zentraler Backup-Server (B-S) außerhalb meines Netzes, soll von
>> einem Client in meinem Netz die Daten sichern.
>> Dazu verbindet sich der B-S auf einen bestimmten Port mit dem Client und
>> initiiert das Backup. Laut Herstellersupport geht das nicht mit NAT.
>>
>> Habe für diese Datenschaufelaktion eine extra NIC (eth5) im Fli verbaut.
>>
>> Was möchte ich:
>> Nur der B-S soll sich mit dem Fli auf eth5 verbinden können und ohne NAT
>> eine Verbindung zum Client aufbauen.
>>
>> Wie sage ich es dem Paketfilter?
>>
>> Dies habe ich in der Doku der Backupsoftware gefunden:
>>
>> -A INPUT -m state --state NEW -m udp -p udp -s aaa.bbb.101.0/28 --dport
>> 40031 -j ACCEPT
>> -A INPUT -m state --state NEW -m tcp -p tcp -s aaa.bbb.101.0/28 --dport
>> 40031:41031 -j ACCEPT
>
> sieht gut aus wenn die Backupsoft auf dem fli4l laufen würde (INPUT)
> du brauchst aber ne FORWARD
>
> Also in der Art:
> if:IP_NET_3_DEV:IP_NET_1_DEV IP_NET_3 IP_NET_1 ACCEPT
> damit könnte dann alles was aus Netz 3 kommt auf Netz 1 zugreifen.
> Evtl. möchtest du das aber auch noch genau auf den Port und die IP's
> eingrenzen:
> if:IP_NET_3_DEV:IP_NET_1_DEV IP_VOM_BS IP_VOM_CLIENT ACCEPT(BIDIRECTIONAL)
>
> bzw.
>
> if:IP_NET_3_DEV:IP_NET_1_DEV prot:tcp IP_VOM_BS
> IP_VOM_CLIENT:40031-41031 ACCEPT(BIDIRECTIONAL)
>
> if:IP_NET_3_DEV:IP_NET_1_DEV prot:udp IP_VOM_BS IP_VOM_CLIENT:40031
> ACCEPT(BIDIRECTIONAL)
>
Ich hoffe ich habe das jetzt richtig verstanden:
Also in der Base.txt
PF_FORWARD_N='4'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_3_DEV:IP_NET_1_DEV prot:tcp IP_VOM_BS
IP_VOM_CLIENT:40031-41031 ACCEPT(BIDIRECTIONAL)'
PF_FORWARD_3='IP_NET_3_DEV:IP_NET_1_DEV prot:udp IP_VOM_BS
IP_VOM_CLIENT:40031 ACCEPT(BIDIRECTIONAL)
PF_FORWARD_4='IP_NET_1 ACCEPT'
> das Ganze kannst du aber auch ohne die zusätzliche Karte machen, die
> Regeln sind dann ähnlich kommt aber auf die Reihenfolge und den Kontext an.
>
Das war auch mein erster Ansatz.
Dazu muss ich voraus schicken, daß der Fli als Ethernet Router läuft und
die WAN-Seite "etwas inhomogen" ist (1x Gbit + 2x 100Mbit) und als bond0
mit 3x 100Mbit den Standard-Traffic verarbeitet.
Mir ist nichts eingefallen wie ich den Backup-Datenverkehr an die
Gbit-NIC im bond0 binden könnte.
Vielen Dank für deine Mühe
Gruß
Klaus
Mehr Informationen über die Mailingliste Fli4L