[fli4l] Aw?==?utf-8?Q?: Frage zur Firewall (Inpu?==?utf-8?Q?t-Chain)

Stefan Sauer mein-fli4l-postfach at freenet.de
Do Aug 27 20:20:51 CEST 2015 

Zitat: Klaus Dreier schrieb am Do, 27 August 2015 20:01
----------------------------------------------------
> Zitat: gandalf schrieb
> 
> > dann mach doch mal auf deinem fli4l
> > 
> > plink -N -D 7070 user at remoteserver
> > 
> > Dann öffnest du ein zweite Terminal, meldest dich da mittels
> > ssh am fli4l ein zweites mal an und lässt dir folgendes
> > ausgeben:
> > 
> > netstat -taunp|grep plink
> > 
> > dann siehst du auch auf welcher IP plink verbunden ist.
> 
> Verbindung steht jetzt (mit der testing-Version, die den fix
> implementiert hat):
> tcp 0 0 127.0.0.1:7070 0.0.0.0:*
> plus auch einem Eintrag, der von meiner lokalen WAN-IP auf die
> Remote-IP verweist, auf welche ich mittels plink zugegriffen habe.

Das ist der erste Schritte und alles ist OK. Nur ist 127.0.0.1 die
IP-Adresse des loopback-Interfaces, und das ist von aussen, also auch
von deinem client-PC nicht direkt erreichbar. Daher brauchst du
zusätzlich eine Privoxy-Konfiguration, die die ankommenden Daten an
deinen Socks-Proxy weiterreicht.



> Aber:
> 
> > PF_INPUT_x='IP_NET_2_IPADDR:7070 ACCEPT' muss natürlich gesetzt
> > sein, sodass der Zugriff erlaubt ist.

Bei deiner Konfig ist die Regel über.


> Das hilft nicht, ich bekomme ein "Proxy Server refused connection",
> wenn ich z.B. im Browser den Socks(5)-Proxy auf den obigen Port und
> die fli4l-IP setze.

Das ist so, weil an IP_NET_2_IPAADR kein Socks-Proxy horcht.

> 
> > Ist die IP in einem anderen Segment, benötigst du eine
> > Forwarding Regel
> > in der Form
> > 
> > PF_FORWARD_x_='if:deinSegment:Segment_wo_Socks_horcht any:7070
> > ACCPT'
> 
> Was genau meinst du hier mit Segment? Mein Setup ist:
> client1 ist im NET_2. NET_2 hat via "PF_INPUT_x='IP_NET_2 ACCEPT'"
> Zugriff auf die fli4l-Dienste/Ports. IP_NET_1 ist mein WAN.
> Eine Regel à la "PF_INPUT_x='prot:tcp IP_NET_2 7070 ACCEPT'" ist
> doch damit überflüssig? Auch eigentlich doch ein
> "PF_INPUT_x='IP_NET_2_IPADDR:7070 ACCEPT'" oder verstehe ich das
> wieder falsch?
> So oder so, die verschiedensten Varianten habe ich versucht, ohne
> Erfolg. Ich brauche hier doch keinen Forward-Eintrag, wenn mein client
> auf die IP_NET_2_Schnittstelle ohnehin Zugriff hat, insb. weil er im
> gleichen NET_2 ist? 

.. Ist soweit klar..


Du benötigst zusätzlich das Proxy-Paket mit solch einer Konfig:

OPT_PRIVOXY='yes'               # privoxy: yes or no

PRIVOXY_MENU='yes'              # show Privoxy in httpd menu?
PRIVOXY_N='1'                   # number of instances
PRIVOXY_1_LISTEN='IP_NET_2_IPADDR:8118'
                                # ip and port to listen on

PRIVOXY_1_ALLOW_N='1'           # open firewall for hosts and networks
PRIVOXY_1_ALLOW_1='IP_NET_2'

PRIVOXY_1_HTTP_PROXY=''         # optional http forward (host:port)
PRIVOXY_1_SOCKS_PROXY='127.0.0.1:7070'        # optional socks4a forward
(host:port)
                                # e.g. 127.0.0.1:9050 to use TOR
                                # remember making TOR listen this port
PRIVOXY_1_TOGGLE='yes'          # may users switch privoxy on/off?
PRIVOXY_1_CONFIG='yes'          # may users edit the config online?
PRIVOXY_1_LOGDIR='/var/log/privoxy'
                                # folder for log files
PRIVOXY_1_LOGLEVEL='1 4096 8192'




> Gruß
> Klaus
----------------------------------------------------

Mehr Informationen über die Mailingliste Fli4L