[fli4l] DMZ Afbau alt->neu
Volker Boergens
admin at networks-consulting.de
Mi Feb 18 12:41:05 CET 2015
Am 18.02.2015 um 08:07 schrieb Martin Dresbach:
> Hallo!
>
> Sehe ich das richtig, dass deine Zuordnung so aussieht?
> IP_NET_1 ist ehemals "GREEN"
> IP_NET_2 ist ehemals "ORANGE"
> IP_NET_3 ist ehemals "RED"
>
> Ausserdem gehe ich mal davon aus, dass du bei deiner 3.6.2 noch die
> "alte" FW-Config benutzt hast, oder? Sonst sollten ja die Funktionen von
> PF_INPUT und PF_FORWARD bekannt sein. :)
>
> Zitat:
>> Klappt das so, oder hab ich n Verstaengiungsproblem bei PF_FORWARD?
>
> Da liegt wohl eher ein Verständnisproblem mit PF_INPUT vor. (Das
> analoge Verständnisproblem lag dann aber auch scchon bei der 3.6.2
> vor)
> Ich kann mir nämlich nicht vorstellen, dass du auf deinem Fli ein
> "Android Market" hostest, oder? Ausserdem finde ich es komisch, dass du
> offensichtlich mit OpenVPN arbeitest, aber den Zugang von aussen nicht
> erlaubst (sondern nur aus "GRÜN" und "ORANGE"), oder ist das so
> gewollt?
> Über die anderen Dienste (bzw. Ports), die du den lokalen Netzen auf
> dem Fli anbietest möchte ich jetzt mal nicht spekulieren. :)
>
> Ohne nähere Kenntnis von deinem genauen Setup bzw. deinen Plänen
> würde ich aber erst einmal eher folgende Konfiguration vorschlagen:
>
>
> PF_INPUT_N='8'
> PF_INPUT_1='IP_NET_1 ACCEPT' # "GRÜN" darf auf alles am Fli zugreifen
> PF_INPUT_2='port:1194 ACCEPT' # Zugriff auf OpenVPN aus allen lokalen
> Netzen und aus dem WAN
> PF_INPUT_3='tmpl:dns IP_NET_2 ACCEPT' # "ORANGE" darf auf DNS am Fli
> zugreifen
> PF_INPUT_4='IP_NET_2 any:113 ACCEPT' # "ORANGE" darf auf IDENT am Fli
> zugreifen (wofür auch immer)
> PF_INPUT_5='tmpl:syslog IP_NET_2 ACCEPT' # "ORANGE" darf auf SYSLOG am
> Fli zugreifen
> PF_INPUT_6='tmpl:dhcp IP_NET_2 ACCEPT' # "ORANGE" darf auf DHCP am Fli
> zugreifen
> PF_INPUT_7='tmpl:http IP_NET_2 ACCEPT' # "ORANGE" darf auf die Web-GUI
> am Fli zugreifen
> PF_INPUT_8='tmpl:https IP_NET_2 ACCEPT' # "ORANGE" darf auf HTTPS am Fli
> zugreifen (bietest du das wirklich auf dem Fli an?)
>
> PF_FORWARD_N='10'
> PF_FORWARD_1='tmpl:samba DROP' # Samba-Traffic zwischen ALLEN Netzen
> verbieten
> PF_FORWARD_2='IP_NET_1 ACCEPT' # "GRÜN" darf in alle Netze
> weitertgeleitet werden
> PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT' # "ORANGE" darf nicht nach
> "GRÜN" weitergeleitet werden
> PF_FORWARD_4='tmpl:http IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> HTTP aufs WAN zugreifen
> PF_FORWARD_5='tmpl:smtp IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> SMTP aufs WAN zugreifen
> PF_FORWARD_6='tmpl:https IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf
> mittels HTTPS aufs WAN zugreifen
> PF_FORWARD_7='tmpl:imap IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> IMAP aufs WAN zugreifen
> PF_FORWARD_8='tmpl:imaps IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf
> mittels IMAPS aufs WAN zugreifen
> PF_FORWARD_9='port:5228 IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf auf
> "Android MArket" im WAN zugreifen
> PF_FORWARD_10='tmpl:ftp IPNET_2 IP_NET_3 ACCEPT' # "ORANGE" darf mittels
> FTP aufs WAN zugreifen
>
>
> Bei deiner alten Config sieht es so aus, als würde auf deinem Fli ein
> FTP-Server laufen. Ist das so? Falls ja, müsstest du noch folgende
> Regel ergänzen:
>
> PF_INPUT_9='tmpl:ftp ACCEPT' # Zugriff auf FTP aus allen lokalen Netzen
> und aus dem WAN
>
> ODER, wenn der FTP-Zugriff nur lokal erlaubt sein soll:
>
> PF_INPUT_9='tmpl:ftp IP_NET_2 ACCEPT' # Zugriff auf FTP aus allen
> lokalen Netzen
>
> Natürlich dementsprechend nicht vergessen, den Wert für PF_INPUT_N zu
> erhöhen. :)
>
> Zitat:
>> Wie schreibe ich denn die udp 1193 fuer openvpn da rein?
>
> Meinst du nicht eventuell 1194? Das wäre nämlich mit der PF_INPUT_2
> von mir bereits erledigt (da kein Protokoll angegeben ist, wird die
> Regel für udp UND tcp erstellt).
>
> Ich habe in den Regel-Kommentaren absichtlich die vorherigen "Farben"
> benutzt, damit es für den Umstieg eventuell leichter nachzuvollziehen
> ist. Ausgehend von meiner anfänglich genannten Zuordnung.
>
> Hoffe, ich konnte dir erst mal weiterhelfen.
> Liebe Grüße,
> Martin
>
Hallo zusammen,
ich haenge mich mal hier an.
ich habe ein Problem mit dem ZUgriff von gruen auf gelb, trotz meiner
Meinung nach richtiger PF_Forward Regeln.
Ich moechte auf das Webinterface eines Accesspoints zugreifen.
PF_FORWARD_N='4' # number of FORWARD rules
PF_FORWARD_1='tmpl:samba DROP' # drop samba traffic if it tries to
leave the
# subnet
PF_FORWARD_2='IP_NET_1 ACCEPT' # "GRÜN" darf in alle Netze
PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT' # orange nach grün
verbieten
PF_FORWARD_4='if:IP_NET_2_DEV:any IP_NET_2 ACCEPT' # orange überall hin
nur nicht in grün
Das muesste doch schon mit Regel Nr.2 abgedeckt sein, oder uebersehe ich
was.
viele Gruesse
Volker
Mehr Informationen über die Mailingliste Fli4L