[fli4l] Aw?==?utf-8?Q?: Re: Aw: Re: Aw: Konfigur?==?utf-8?Q?ation - Zugriff auf verschie?==?utf-8?Q?dene Netze

TomW webmaster at weber-computerhilfe.de
Fr Dez 4 00:11:27 CET 2015 

Zitat: Christoph Schulz schrieb am Mo, 30 November 2015 13:23
----------------------------------------------------
> Hallo!
> 
> TomW schrieb:
> 
> > Kann mir hier denn keiner mehr helfen?
> > Oder ist das was ich will nicht möglich?
> 
> Das Problem ist, dass c3surf seine Regeln noch _vor_ den Regeln
> 
>     0     0 ACCEPT     all  --  *      *       0.0.0.0/0           
> 
> 0.0.0.0/0            ctstate RELATED /* PF_FORWARD_ACCEPT_DEF */
>     0     0 ACCEPT     all  --  *      *       0.0.0.0/0           
> 
> 0.0.0.0/0            ctstate ESTABLISHED /* PF_FORWARD_ACCEPT_DEF
> */
> 
> installiert. Dadurch kommen Pakete von 192.168.2.0/24 im Netz
> 192.168.3.0/24 
> zwar an, aber die Antwortpakete nicht mehr, weil die c3surf-Regel
> 
>     0     0 REJECT     all  --  *      *       192.168.3.0/24      
> 
> 0.0.0.0/0            /* prot:any 192.168.3.1/24 any REJECT */
> reject-with 
> icmp-port-unreachable
> 
> (in der Kette c3surf_control) jegliche Pakete von 192.168.3.0/24
> irgendwohin 
> unterbindet.
> 
> Man könnte analysieren, ob man den c3surf-Regelblock nicht _nach_
> den 
> PF_FORWARD_ACCEPT_DEF-Regeln (also hinter
> 
>     0     0 PORTFWACCESS  all  --  *      *       0.0.0.0/0         
>   
> 0.0.0.0/0            ctstate NEW /* PF_FORWARD_ACCEPT_DEF */
> 
> ) schieben könnte. Dann würde die ESTABLISHED-Regel greifen und
> die 
> Antwortpakete erlauben. Aber ich nutze c3surf nicht, so dass ich mir
> erst 
> einmal eine Minimalkonfiguration mit mehreren VMs etc. bauen
> müsste. Denn es 
> könnte unerwünschte Nebeneffekte geben, etwa dass zur
> Erlaubniszeit 
> langlebige (TCP-)Verbindungen aufgebaut und in der Verbotszeit
> weitergenutzt 
> werden. Das ist vermutlich unerwünscht.
> 
> 
> Viele Grüße,
> -- 
> Christoph Schulz
> [fli4l-Team]
----------------------------------------------------

Hallo Christoph,

Danke für die Antwort!
Den Aufwand musst Du Dir dann doch nicht machen, dann muss mein Kunde
eben mit dem Problem leben. 

Gruß Tom


-- 
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de

Mehr Informationen über die Mailingliste Fli4L