[fli4l] PF mit 3 Netzen

Carsten Weisky carsten at weisky.de
Di Jan 14 07:11:50 CET 2014 

Hallo zusammen,
etwas ähnliches hab ich schon gegoogelt, aber keine Lösung dazu gefunden.
Ich habe:
ein Netzwerk mit fli4l (192.168.1.5) als Router und mehreren 
Accesspoints und Switches und dem entsprechenden Adressbereich. 
Einwandfreie Funktion.

Ich möchte:
Ein Netzwerk mit drei Adressbereichen (N1, N2, N3) um mit einem ins 
komplett alles zu machen, eins, um nur ins Internet zu gehen. Und ein 
drittes, das mit erlaubt mit dem ersten Netz über VPN und andersrum zu 
reden.

Ich hab mal so begonnen:
könnt ihr mal drüber schaun ob grundlegende Fehler vorhanden sind, nicht 
dass ich mich mal schnell vom fli4l aussperre, da das Netz laufen muss. 
Ich hab auch noch nicht rausgefunden, wie ich konkret darstelle, das 
Netz 2 nur ins Internat darf.

IP_NET_N='3'
IP_NET_1='192.168.1.5/24'
IP_NET_1_DEV='eth0'
IP_NET_2='172.16.1.5/24'
IP_NET_2_DEV='eth0'
IP_NET_3='172.31.1.5/24'
IP_NET_3_DEV='eth0'

PF_NEW_CONFIG='yes'                     # new style packet filter config
     PF_INPUT_POLICY='REJECT'            # be nice and use reject as policy
     PF_INPUT_ACCEPT_DEF='yes'           # use default rule set
     PF_INPUT_LOG='no'                   # don't log anything
  PF_INPUT_LOG_LIMIT='3/minute:5'
     PF_INPUT_REJ_LIMIT='1/second:5'
     PF_INPUT_UDP_REJ_LIMIT='1/second:5'

     PF_INPUT_N='4'
     PF_INPUT_1='IP_NET_1 ACCEPT'
     PF_INPUT_2='tmpl:samba DROP NOLOG'  # drop (or reject) samba access
     PF_INPUT_2_COMMENT='no samba traffic allowed'
# without logging, otherwise the log file will be filled with useless 
entries
     PF_INPUT_3='IP_NET_2 ACCEPT'
     PF_INPUT_4='IP_NET_3 ACCEPT'

     PF_FORWARD_POLICY='REJECT'          # be nice and use reject as policy
     PF_FORWARD_ACCEPT_DEF='yes'         # use default rule set
     PF_FORWARD_LOG='no'                 # don't log anything
     PF_FORWARD_LOG_LIMIT='3/minute:5'   # log 3 events per minute; allow a
                                         # burst of 5 events
     PF_FORWARD_REJ_LIMIT='1/second:5'   # reject 1 connection per 
second; allow
                                         # a burst of 5 events; otherwise
                                         # drop packet
     PF_FORWARD_UDP_REJ_LIMIT='1/second:5'   # reject 1 udp packet per 
second;
                                             # allow a burst of 5 events;
                                             # otherwise drop packet
     PF_FORWARD_N='4'
     PF_FORWARD_1='tmpl:samba DROP'      # drop samba traffic if it tries
                                         # to leave the subnet
     PF_FORWARD_2='IP_NET_1 ACCEPT'      # accept everything else
     PF_FORWARD_3='IP_NET_2 ACCEPT'      # accept everything else
     PF_FORWARD_4='IP_NET_3 ACCEPT'      # accept everything else

     PF_POSTROUTING_N='3'
     PF_POSTROUTING_1='IP_NET_1 MASQUERADE'  # masquerade traffic leaving
     PF_POSTROUTING_2='IP_NET_2 MASQUERADE'  # masquerade traffic leaving
     PF_POSTROUTING_3='IP_NET_3 MASQUERADE'  # masquerade traffic leaving
                                             # the subnet

     PF_PREROUTING_N='0'
     PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
                                             # forward ssh connections
                                             # coming from 1.2.3.4 to 
client2

     PF_USR_CHAIN_N='0'


Vielen Dank!!!

Mehr Informationen über die Mailingliste Fli4L