[fli4l] Vers 3.10.1 ztwei Netze gegneinder abschotten

Helmut Sieckmann hsieckmann at t-online.de
Mo Feb 9 08:37:38 CET 2015 

Am 09.02.2015 um 07:11 schrieb Martin Dresbach:
> Hallo Helmut.
> 
> Bei deiner bisherigen Config kann das auch nicht wirklich
> funktionieren.
> 
> Da du ja auch nicht wirklich beschrieben hattest, zu welchen Problemen
> es bei dir kommt (sondern nur was dein Bestreben ist), frage ich mal
> meine Kristallkugel. :)
Manchmal ist es etwas schwer etwas so zu beschreiben, dass es auch
andere verstehen... :-)
 Diese sagt mir:
> 1. Niemand hat Zugriff auf die Samba Ports am Fli (INPUT_1)
> 2. Beide Netzte haben derzeit Zufriff auf alle anderen Ports am Fli
> (INPUT_2 und INPUT_3)

korrekt

> 3. Samba-Pakete werden generell in kein anderes Netz weitergeleitet,
> weder ins WAN, noch im LAN (FORWARD_1)
> 4. NET_1 hat Zugriff auf das WAN und auf das NET_2 (FORWARD_2)
> 5. NET_2 hat Zugriff auf das WAN und auf das NET_1 (FORWARD_3)
Mist
> 6. Der gewünschte Effekt, die Kommunikation von NET_2 in NET_1 zu
> verbieten bleibt aus (FORWARD_4). Diese Regel kommt nie zum Einsatz, da
> die Kommunikation bereits in den vorherigen Regeln erlaubt wurde

Gebau das ist mei Problem, dass ich nie genau weiß welche Reihenfolge
einzuhalten ist

> 7. Ob Pings zwischen den Netzen funktionieren weiss auch meine
> Kristallkugel nicht. Du solltest nämlich noch angeben, ob du die
> jeweiligen Standardregeln nutzt oder nicht (also PF_INPUT_ACCEPT_DEF,
> PF_FORWARD_ACCEPT_DEF, PF_OUTPUT_ACCEPT_DEF)
> 8. Ich gehe auch mal davon aus, dass du bei den jeweiligen
> Policy-Einstellungen "REJECT" bzw. "DROP" benutzt, oder?

Ja, alles andere ist Standard
> 
> Generell würde ich dir dazu raten, dir erst einmal darüber klar zu
> werden, WAS du wirklich willst. Sowas wie "kann, muss aber nicht" lässt
> sich nämlich nicht in FW-Regeln implementieren. Diese Entscheidung
> solltest du halt vorher treffen.

OK,keine Kommunikation zwischen den Netzen

> Wie Christoph auch schon sagte, ein Ping INNERHALB eines Netzes kannst
> du nicht unterbinden. Lediglich ZWISCHEN den Netzen.

Ja, ist mir natürlich klar

> Was du da allerdings in deiner User-Chain gebastelt hast, weiss meine
> Kristallkugel nicht, aber offensichtlich verwendust du ja eine:
> Zitat:
>> PF_USR_CHAIN_N='1'
>> PF_USR_CHAIN_1_NAME='usr-in-icmp'

Da fehlt :

 PF_USR_CHAIN_1_RULE_N='1'
 PF_USR_CHAIN_1_RULE_1='prot:icmp:echo-request
      length:0-100 limit:1/second:5 ACCEPT'
Das hatte ich mal irgendwann so übernommen...

> 
> 
> Ein genereller Ansatz für dich wäre also z.B. dann so ein Konstrukt:
> 
> 
> PF_INPUT_POLICY='REJECT'
> PF_INPUT_ACCEPT_DEF='yes'
> PF_INPUT_LOG='yes'
> PF_INPUT_N='3'
> PF_INPUT_1='tmpl:samba DROP NOLOG'
> PF_INPUT_2='IP_NET_1 ACCEPT'
> PF_INPUT_3='IP_NET_2 ACCEPT'
> 
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_LOG='yes'
> PF_FORWARD_N='4'
> PF_FORWARD_1='IP_NET_1 IP_NET_2 REJECT BIDIRECTIONAL'
> PF_FORWARD_2='tmpl:samba DROP NOLOG'
> PF_FORWARD_3='IP_NET_1 ACCEPT'
> PF_FORWARD_4='IP_NET_2 ACCEPT'
> 
> PF_POSTROUTING_N='1'
> PF_POSTROUTING_1='if:any:pppoe MASQUERADE'
> 
> PF_USR_CHAIN_N='0'
> 
> 
Das werde ich dahingehend ändern. Wenn ich das richtig verstehe,
 immer erst alles verbieten und dann die Ausnahmen hinzufügen?


> Deine PREROUTING-Regeln hast du ja anscheinend schon selber hinbekommen.
> Diese musst du natürlich noch ergänzen. :)
> 
> Zur Erklärung:
> 1. Niemand hat Zugriff auf die Samba Ports am Fli (INPUT_1)
> 2. Beide Netze haben Zugriff auf alle anderen Ports am Fli (INPUT_2 und
> INPUT_3)
> 3. Kommunikation zwischen NET_1 und NET_2 ist generell verboten, also
> egal in welche Richtung (FORWARD_1)

genau, so sollte es sein

> 4. Samba-Pakete werden nicht ins WAN weitergeleitet (FORWARD_2)
> 5. Beide Netze haben Zugriff zum WAN (FORWARD_3 und FORWARD_4)
> 6. Masquerading zum WAN (POSTROUTING_1)
> 
> Was die Ping-Thematik angeht, bin ich mir gerade ehrlich gesagt nicht zu
> 100% sicher. Eventuell erlauben die Standardregeln das. Da sollte
> Christoph eventuell noch einmal was dazu sagen.
> 
> Hoffe das hilft dir erst einaml weiter.
> 
> Liebe Grüße,
> Martin
> 
> 

Danke vielmals, das hat mir definitiv weiter geholfen.

Viele Grüße
Helmut

Mehr Informationen über die Mailingliste Fli4L