[fli4l] Squid Dienst nur fürs interne LAN

[Sebastian Klein]

Hi Tom,

Ich antworte mal hier:

Am 17.02.13 19:42, schrieb webmaster at weber-computerhilfe.de:
> Beim Opt_Squid wird einem geraten den Paketfilter so zu konfigurieren, dass der Dienst nur durch das eigene interne LAN genutzt werden kann.
>
> Reicht es hier beim Paketfilter folgendes zu schreiben?
>
> PF_FORWARD_4='if:any:pppoe tmpl:squid DROP'
> PF_FORWARD_5='IP_NET_1 ACCEPT'      # Netz 'privat' darf ins Internet
> PF_FORWARD_6='IP_NET_2 ACCEPT'      # Netz 'extern' darf ins Internet
> PF_FORWARD_7='IP_NET_3 ACCEPT'      # Netz 'wlan' darf ins Internet

Ich würde die Automagie abschalten

SQUID_AUTO_CONFIG='no'

und die Netze explizit über

SQUID_ACCESS_NET_N

und

SQUID_ACCESS_NET_x

angeben.

Davon mal abgesehen: (Zitat aus der Doku)
"Damit hat automatisch jedes System, welches über die Input-Liste der 
neuen Paketfilter-Konfiguration uneingeschraenkten Zugriff auf den
Router hat auch gleichzeitig uneingeschraenkten Internet-Zugriff ueber 
den Squid."

Damit sollte dir bzgl. der obigen Regeln etwas auffallen ;-)
Wenn du dann noch den gesammten Verkehr der initial von außen kommt 
blockst, hast du doch schon was du möchtest.

Grüße Sebastian