[fli4l] Auffälligkeit bei aktiver Verbindung

[Christoph Schulz]

Hallo!

Helmut Sieckmann schrieb:

> gedroppt habe ich mit:
> PF_INPUT_17='1.85.141.0 DROP

Erstens fehlt hier eine Netzmaske; du wolltest wahrscheinlich

PF_INPUT_17='1.85.141.0/24 DROP'

schreiben, denn sonst wird der Zugriff von z.B. 1.85.141.35 durchgelassen.

Zweitens greift die Regel _nicht_, wenn du den Port an einen Rechner im LAN 
weiterleitest (also mittels PF_PREROUTING oder PORTFW). Wenn ich das richtig 
verstanden habe, läuft dein Raspberry Pi als Client im LAN, somit wirst du 
vermutlich eine Regel wie

PF_PREROUTING_x='prot:tcp 8080 DNAT:@rpi'

oder eine äquivalente PORTFW-Konfiguration haben. In diesem Falle bringt die 
Regel in der INPUT-Kette nichts, weil das Paket weitergeleitet wird; du 
brauchst dafür somit die FORWARD-Kette:

PF_FORWARD_x='prot:tcp 1.85.141.0/24 @rpi:8080 DROP'

(Bitte "rpi" durch den korrekten Hostnamen ersetzen, das geht aber nur, wenn 
er im HOST(S)_N-Array eingetragen ist; ansonsten die statische Adresse 
eintragen.)


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]