[fli4l] Frage zu C3surf und Paketfilter (DNS und DHCP)

Robert Kraus tenbaset at gmx.de
Mi Jun 4 23:17:59 CEST 2014


Hallo

PF_Forward_N sollte doch "3" sein, oder?



Am 04.06.2014 21:34, schrieb Alexander Aul:
> Hallo,
>
> Am 04.06.2014 16:23, schrieb Robert Kraus:
>  > Hallo Alex.
>  >
>  > Ich habe auch c3surf am laufen, aber dhcp und so weiter wird durch
>  > c3surf ja eigentlich nicht geblockt.
>
> Also bei mir kommt kein DHCP/DNS an. Wenn ich dem WLAN-Client ne feste
> IP und die DNS-Info manuell verpasse geht alles wie erwartet.
> (Entspricht eigentlich auch dem Verhalten laut Doku)
>
>  > Meine Konfig:
> ...
>  > Funktioniert ohne Probleme....
>  > Wie sieht Deine Konfig aus?
>
> IP_NET_1 ist wie bei Dir ein Ethernet-Router - funktioniert über eth0
>
> IP_NET_2 ist eine bridge br0 für eth1 und eth2 sowie wlan0 "privater"
> Natur und routet zum Internet wie erwartet (ein 172.23.XX.XX Netz)
>
> IP_NET_3 ist wlan0v2 und soll ohne zugriff auf die bridge und über
> c3surf ins Internet routen (jenes 192.168.111.0/24 Netz aus meinem
> IPTables-Versuchen)
>
> Meine Config:
>
> fli4l-3.9.0-r30262-testing
>
> PF_INPUT_POLICY='REJECT'
> PF_INPUT_ACCEPT_DEF='yes'
> PF_INPUT_N='5'
> PF_INPUT_1='IP_NET_2 ACCEPT' #brige mit lan und wlan0 "internes" Netz
> PF_INPUT_1_COMMENT='bridge Netzwerk'
> PF_INPUT_2='tmpl:samba DROP NOLOG'
> PF_INPUT_2_COMMENT='no samba traffic allowed'
> PF_INPUT_3='IP_NET_3 ACCEPT' #wlan0v2
> PF_INPUT_3_COMMENT='Gäste-WLAN Netzwerk'
> PF_INPUT_4='tmpl:ssh ACCEPT'
> PF_INPUT_4_COMMENT='SSH zulassen'
> PF_INPUT_5='IP_NET_3 IP_NET_2 DROP BIDIRECTIONAL' # das "interne" und
> gast-netz sollen sich nicht sehen
> PF_INPUT_5_COMMENT='Sperre zwischen interem Netz und Gäste WLAN'
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_LOG='no'
> PF_FORWARD_N='2'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='IP_NET_2 ACCEPT'
> PF_FORWARD_3='IP_NET_3 ACCEPT'
> PF_OUTPUT_POLICY='ACCEPT'
> PF_OUTPUT_ACCEPT_DEF='yes'
> PF_OUTPUT_LOG='no'
> PF_OUTPUT_N='0'
> PF_POSTROUTING_N='2'
> PF_POSTROUTING_1='IP_NET_2 MASQUERADE'
> PF_POSTROUTING_2='IP_NET_3 MASQUERADE'
> PF_PREROUTING_CT_ACCEPT_DEF='yes'
> PF_PREROUTING_CT_N='3'
> PF_PREROUTING_CT_1='tmpl:ftp IP_NET_2 HELPER:ftp'
> PF_PREROUTING_CT_2='tmpl:ftp IP_NET_3 HELPER:ftp'
> PF_PREROUTING_CT_3='tmpl:ftp any dynamic HELPER:ftp'
> PF_OUTPUT_CT_ACCEPT_DEF='yes'
> PF_OUTPUT_CT_N='0'
> PF_USR_CHAIN_N='0'
>
> DNS_LISTEN_1='IP_NET_2_IPADDR'
> DNS_LISTEN_2='IP_NET_3_IPADDR'
>
> DHCP_RANGE_2_NET='IP_NET_3'
> DHCP_RANGE_2_START='192.168.111.10'
> DHCP_RANGE_2_END='192.168.111.240'
> DHCP_RANGE_2_DNS_SERVER1='192.168.111.1'
> DHCP_RANGE_2_DNS_SERVER2=''
> DHCP_RANGE_2_DNS_DOMAIN='wlan.local'
> DHCP_RANGE_2_NTP_SERVER='192.168.111.1'
> DHCP_RANGE_2_GATEWAY='192.168.111.1'
>
> C3SURF_LOG_PATH='/var/log/c3surf'
> C3SURF_PERSISTENT_PATH='/data/c3surf'
> C3SURF_DOLOG_HTTPD='no'
> C3SURF_WORKON_TMP='yes'
> C3SURF_QUOTA='yes'
> C3SURF_COUNTER='0'
> C3SURF_TIME='60'
> C3SURF_BLOCKTIME='240'
> C3SURF_SAVE_QUOTA='yes'
> C3SURF_CHECK_ARP='yes'
> C3SURF_CONTROL_HOST_OR_NET_N='1'
> C3SURF_CONTROL_HOST_OR_NET_1='IP_NET_3'
> C3SURF_CONTROL_PORT_N='0'
> C3SURF_BLOCK_PORT_N='2'
> C3SURF_BLOCK_PORT_1='5000'
> C3SURF_BLOCK_PORT_2='5001'
> C3SURF_HTTPD_PORT='8080'
> C3SURF_HTTPD_LISTENIP='IP_NET_3_IPADDR'
> OPT_LOGINUSR='yes'
> LOGINUSR_DELETE_PERSISTENT_DATA='no'
> LOGINUSR_ACCOUNT_N='0'
> OPT_C3SURF_VOUCHER='yes'
> C3SURF_VOUCHER_N='3'
> C3SURF_VOUCHER_1_TIME='10080'
> C3SURF_VOUCHER_1_COUNT='3'
> C3SURF_VOUCHER_1_DAYS='60'
> C3SURF_VOUCHER_1_LIVES='-1'
> C3SURF_VOUCHER_DEL_CRON='0 4 * * *'
> C3SURF_VOUCHER_GEN_CRON='15 4 * * *'
>
>  >
>  > Gruß
>  > Robert
>
> Freu mich über jede Hilfe!
>
> Alex



Mehr Informationen über die Mailingliste Fli4L