[fli4l] PF_INPUT - ein?==?utf-8?Q? paar Verständnisfragen

Martin Dresbach martin.dresbach at arcor.de
Di Jan 27 08:03:28 CET 2015


Hallo Klaus.

Zitat:
> Noch eine andere Frage: Wie wäre es denn möglich, eine bestimmte
> IP, die sich in NET_3 befindet, faktisch ins NET_1 zu "hieven"?


Also so wie ich das sehe, ist es nicht möglich einen NET_3 Client
effektiv zu einem NET_1 Client zu machen. Irgendwie würde das ja auch
das ganze Prinzip der physikalischen Trennung kaputt machen. Und was
würdest du dir davon versprechen?

Es ist natürlich sehrwohl möglich, einem Client aus NET_3 (selektiv)
all das zu erlauben, was auch alle NET_1 Clients dürfen. Es ist halt
nur mit etwas mehr Schreibarbeit verbunden.

Das mag zwar jetzt ein bissl nach Haarspalterei klingen, aber man sollte
echt vermeiden solche Definitionen zu vermischen oder "aufzuweichen".
Für Menschen, die keine Erfahrung mit verschiedenen Subnetzen bzw.
Routing haben, mag das zwar trotzdem irgendwie zum gleichen Ziel
führen. Allerdings gräbst dur dir selbst ein ganz tiefes Loch und
bescherst dir üble Kopfschmerzen, wenn du bei der Firewall-Config solch
"aufgeweichte" Definitionen verwendest. Dann klappt nämlich nix mehr,
oder du erlaubst aus versehen Dinge, die gar nicht gewollt waren.
Zweck der ganzen Geschichte mit den 2 (oder mehr) Subnetzen ist ja
schliesslich, dass man eine effektive Trennung erreicht und die volle
Kontrolle über das Geschehen hat, wer was mit wem darf. Aber keine
Sorge, wenn du erst mal deine zusätzliche NIC hast, und das ganze live
ausprobieren kannst, wird dir das alles ganz schnell klar.

Zitat:
> Statt jetzt diverse portbezogene Forward-Regel zu basteln, müßte
> es doch auch möglich sein zu sagen, daß IP xxx.xxx.NET3.1 faktisch
> wie zu xxx.xxx.NET1.x gehörig zu behandeln ist - oder?


Wenn du besagten Client sowieso eigentlich lieber in NET_1 gehabt
hättest (das aber geografisch nicht geht), spricht ja auch nichts
dagegen, ihm einfach ALLES in Richtung NET_1 zu erlauben. Du müsstest
dann also nicht etliche portbezogenen FORWARD-Regeln erstellen, sondern
bloss eine ganz kurze. Etwas in der Richtung: PF_FORWARD_x='1.2.3.4
IP_NET_1 ACCEPT'. Hier wäre dann 1.2.3.4 die IP des Clients, der alles
in Richtung NET_1 darf. Die Gegenrichtung hättest du ja an sich schon
durch das früher erwähnte PF_FORWARD_x='IP_NET_1 IP_NET_3 ACCEPT'
abgedeckt, wenn ich micht jetzt nicht ganz täusche. :)

Ich hoffe übrigens mal ganz stark für dich, dass diese "feste"
Verkablung zu dem Switch keins von diesen "fragwürdigen" Kabeln aus
deinem anderen Thread ist. :)

Liebe Grüsse,
Martin


Mehr Informationen über die Mailingliste Fli4L