[fli4l] Vers 3.10.1 ztwei Netze gegneinder abschotten
Helmut Sieckmann
hsieckmann at t-online.de
Mo Feb 9 00:03:50 CET 2015
Am 08.02.2015 um 23:15 schrieb Christoph Schulz:
Hallo,
>> Netz A darf alles und Internet, Netz B darf nur Internet; auch kein
>> gegnseitiger Ping.
>
> Was meinst du mit "auch kein gegenseitiger Ping"? Die Rechner in Netz B
> können sich immer gegenseitig anpingen, das geht ja nicht über den Router.
Ping von B nach A soll nicht gehen
Ping von A nach B kann gehen
>
> Außerdem schreibst du "Netz A darf alles": Heißt das, dass Rechner in Netz A
> auch Rechner in Netz B anpingen dürfen? Oder ist das eine Ausnahme von
> "alles"? Irgendwie passt das nicht ganz zusammen...
>
Von Netz A nach B kann Kommunikation sein ; muß aber nicht
>> Beide Netze haben einen eigenen Switch.
>> Ich habe in der Forward Regel ein IP_NET_1 IP_NET_" reject
>> bidirectional stehen, aber das ist wohl nicht ganz richtig...
>
> Kannst du uns deine komplette IP_NET_*- und PF_*-Konfiguration hier zeigen?
Hier die Regeln, das wichtigste:
IP_NET_N='2'
IP_NET_1='192.168.100.254/24'
IP_NET_1_DEV='eth0'
IP_NET_2='192.168.200.254/24'
IP_NET_2_DEV='eth2'
IP_ROUTE_N='0'
PF_INPUT_1='tmpl:samba DROP NOLOG'
PF_INPUT_2='IP_NET_1 ACCEPT'
PF_INPUT_3='IP_NET_2 ACCEPT'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_2 ACCEPT'
PF_FORWARD_4='IP_NET_1 IP_NET_2 REJECT BIDIRECTIONAL'
PF_OUTPUT_N='0'
PF_POSTROUTING_1='if:any:pppoe MASQUERADE'
etliche Prerouting Regeln für das 100er Netz
zB Kameras
PF_USR_CHAIN_N='1'
PF_USR_CHAIN_1_NAME='usr-in-icmp'
Gruß Helmut
Mehr Informationen über die Mailingliste Fli4L