[fli4l] fli4l 3.6.2 - IP blocken

[Ulrich Hupe]

Am 12.02.2013 15:29, schrieb Sebastian Klein:
> Am 12.02.13 15:16, schrieb Ulrich Hupe:
>> Hallo,
>> ich habe jetzt mehrfach versucht bestimmte IP direkt am Router komment
>> von DSL abzuweisen
>
> okay...
>
>> Durch Eintrag in der base.tx:
>>
>>   PF_INPUT_1='150.70.0.0/16 DROP'
>> und
>>   PF_FORWARD_10='150.70.0.0/16 DROP BIDIRECTIONAL'
>>
>> Trotzdem habe ich immer noch connects auf dem dahinterliegenden EIS2
>> Apache Server
>>
>> Warum ??? Was stimmt an den o.g. Einträgen nicht?
>
> das kommt jetzt auf die anderen Regeln an...
> wenn du in PF_FORWARD_(1-9) oder gar im prerouting den Zugriff auf den
> Indianer auf dem eisfair frei gegeben hast greift die obige Regel ja gar
> nicht.
>
> Grüße Sebastian
>
Hab ich nicht, zumindest sehe ich das nicht:
Ich habe 2 Netze .54.1 und .154.1  .154.4 ist der EIS2

oder muß ich Zeile _10 zwingend an den Anfang stellen?
oder muß es heißen:
PF_FORWARD_10='150.70.0.0/16 192.168.154.4 DROP BIDIRECTIONAL'  ?

Auszug:

     PF_FORWARD_N='20'
     PF_FORWARD_2='192.168.54.3 192.168.154.4 ACCEPT BIDIRECTIONAL' 
#Zugriff auf eis2 nur mit .3
     F_FORWARD_8='IP_NET_1 IP_NET_2 REJECT BIDIRECTIONAL' kein Austausch 
zwischen den Netzen
     PF_FORWARD_9='tmpl:samba DROP' # drop samba traffic if it tries to 
leave the subnet

     PF_FORWARD_10='150.70.0.0/16 DROP BIDIRECTIONAL'

     PF_FORWARD_19='IP_NET_1 ACCEPT'    # accept everything else
     PF_FORWARD_20='IP_NET_2 ACCEPT'    # accept everything else

Bei PF_Input steht es als erstes. Das beschränkt aber nur den Zugriff 
auf den Router selbst.

Gruß,
Ulrich