[fli4l] DMZ mit Fli4l 3.10.1

Torsten Kästel torsten.kaestel at cgnf.net
So Feb 1 12:42:24 CET 2015


Hallo zusammen,

heute morgen hat sich ein ein weiteres Problem mit der DMZ-Konfiguration 
gezeigt.

Die Mails meiner Server im LAN an den Mailserver in der DMZ wurden mit 
der Meldung "Client host rejected" abgelehnt.

Wenn meine Vermutung stimmt, hat die DMZ Konfiguration im fli4l 3.6.2 
dafür gesorgt, dass die IP-Adresses der internen Server 192.168.6.x 
umgeschrieben wurde auf die IP-Adresse des fli4l 192.168.8.254, die er 
in der DMZ hatte. In der Postfix main.cf war nur das 192.168.8.0/24 Netz 
als mynetwork eingetragen, so dass Clients aus anderen Netzen abgelehnt 
werden.

Die aktuelle DMZ-Konfiguration im 3.10.1 verhält so, dass die 
Original-IP-Adresse weitergereicht wird, womit ein "reject" passiert.

Als Workaround habe ich jetzt das 192.168.6.0/24 Netz in der main.cf als 
weiteren Eintrag bei mynetworks hinzugefügt.

Was sagen denn die Fachleute? Kann man das mit dem Workaround lassen 
oder sollte man besser die DMZ-Konfiguration ändern? Und wenn ja, wie? 
Muss ich dann irgendwie SNAT oder Masquerade in einer der Regeln benutzen?

Vielen Dank schon mal und beste Grüße
Torsten



Am 30.01.2015 um 20:44 schrieb Torsten Kästel:
> Hallo zusammen,
>
> habe jetzt mal die neue Version heruntergeladen und konfiguriert. Ich
> musste jetzt allerdings feststellen, dass es jetzt keine
> vorkonfigurierte DMZ mehr gibt.
>
> Ich habe zwar nach der in der Doku verlinkten Anweisung die
> Konfiguration abgeändert, aber es funzt noch nicht wirklich alles. Ich
> komme von den Clients im LAN ins Internet aber von den Rechnern in der
> DMZ nicht mehr. Nicht einmal DNS scheint zu funktionieren.
>
> Nun stehe ich vor dem Problem, die in der alten Konfiguration
> vorhandenen Möglichkeiten z.B.
>
> DMZ_ORANGE_ROUTER_N='4'
> DMZ_ORANGE_ROUTER_1='tmpl:dns ACCEPT'    # allow access to dns
> DMZ_ORANGE_ROUTER_2='113 ACCEPT'         # allow access to Ident
> DMZ_ORANGE_ROUTER_3='tmpl:syslog ACCEPT' # allow access to syslog
> DMZ_ORANGE_ROUTER_4='tmpl:dhcp ACCEPT'    # allow access to dhcp
>
> irgendwie mit den jetztigen Regeln abzubilden.
>
> Kann mit dabei jemand eine Tipp geben? Welche Regeln muss ich
> definieren, dass die Rechner aus der DMZ (eth1, IP_NET_2) auf den Router
> zugreifen können?
>
> Und welche Regeln brauche ich, um von der DMZ ins Internet zu kommen
> z.B. für http?
>
> Vielen Dank schon mal und beste Grüße
> Torsten
>
> ---
> Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
> http://www.avast.com
>

---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
http://www.avast.com



Mehr Informationen über die Mailingliste Fli4L