[fli4l] Vers 3.10.1 ztwei Netze gegneinder abschotten

[Christoph Schulz]

Hallo!

Helmut Sieckmann schrieb:

> Das werde ich dahingehend ändern. Wenn ich das richtig verstehe,
>  immer erst alles verbieten und dann die Ausnahmen hinzufügen?

Nein. Immer erst die spezielleren, dann die allgemeineren Regeln. Das ist 
unabhängig von der Art der Regel (akzeptieren oder verwerfen). Generell 
könnte man sagen: Je kürzer deine Regel _vor_ ACCEPT/REJECT/DROP/... ist 
(genauer: je weniger Elemente dort auftauchen), desto allgemeiner ist sie, 
denn Regeln mit weniger Elementen schränken weniger ein als Regeln mit 
vielen Elementen. Beispiel:

# ganz allgemeine Regel: erlaubt _sämtlichen_ Zugriff "nach draußen"
PF_FORWARD_x='ACCEPT' 
# speziellere Regel: sperrt Zugriff "nach draußen" von IP_NET_1 aus
PF_FORWARD_x='IP_NET_1 DROP'
# noch speziellere Regel: erlaubt Zugriff auf IP_NET_1 von IP_NET_2 aus
PF_FORWARD_x='IP_NET_2 IP_NET_1 ACCEPT'
# noch speziellere Regel: sperrt Zugriff auf Host xyz von IP_NET_2 aus
PF_FORWARD_x='IP_NET_2 @xyz DROP'
# ganz spezielle Regel: erlaubt Zugriff auf Port 80 von Host xyz von
# IP_NET_2 aus
PF_FORWARD_x='IP_NET_2 @xyz:80 ACCEPT'

Generell müssen die spezielleren Regeln vor den allgemeineren auftauchen. 
Trifft eine allgemeinere Regel vor einer spezielleren zu, so kommt die 
speziellere gar nicht mehr zum Zuge. Im obigen Beispiel müsste also die 
Reihenfolge der Regeln komplett umgedreht werden, damit alle Regeln sinnvoll 
sind. Es wird also erst "Quelle = IP_NET_2, Ziel = Host xyz, Port 80" 
geprüft, dann "Quelle = IP_NET_2, Ziel = Host xyz", dann "Quelle = IP_NET_2, 
Ziel = IP_NET_1" usw. usf.


Gruß,
-- 
Christoph Schulz
[fli4l-Team]