[fli4l] [3.10.1] Frage zur Firewall, blockieren von DNS-Tunneling
Christoph Schulz
fli4l at kristov.de
So Feb 8 17:02:57 CET 2015
Hallo!
K. Dreier schrieb:
>> PF_FORWARD_1='@tv DROP NOLOG'
>> [...]
>
> Damit dürftest du doch aber den "Zugang zum lokalen Netz" gekillt
> haben?
Nur, wenn das lokale Netz ein anderes Netz ist. Wenn das TV im selben
logischen Netz ist, trifft FORWARD nicht zu, dann kommuniziert das TV-Gerät
sowieso mit den anderen Hosts im Netz, ohne den Router zu bemühen.
> Was dir fehlt, dürfte mE ein
> PF_INPUT_x='tmpl:dns @tv REJECT' # oder DROP
> sein.
Dann geht auch die Auflösung lokaler DNS-Namen nicht mehr.
> Und wenn du noch sicherer sein willst (denn Anfragen via IP wären damit
> natürlich weiterhin möglich), dann hängst du noch
> PF_INPUT_x='tmpl:http @tv REJECT'
> PF_INPUT_x='tmpl:https @tv REJECT'
> an.
> Oder gleich einfach PF_INPUT_x='@tv REJECT'...
Damit unterbindest du den Zugriff auf den Router, nicht aufs Internet (das
ist ja gerade der Unterschied zwischen der INPUT- und der FORWARD-Kette).
Gruß,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L