[fli4l] PF_INPUT - ein?==?utf-8?Q? paar Verständnisfragen

K. Dreier usenetforum at gmx.net
Fr Jan 30 18:39:11 CET 2015


N'Abend

Update:

mad-one schrieb am Mi, 28 Januar 2015 03:26
> Dein Ziel war doch, dass die Clients im NET_3 NICHTS dürfen

Nein, die sollen alle ins Internet dürfen, aber eben keinen Zugriff auf
mein NET_1 (mit Ausnahmen, dazu gleich mehr) und nur eingeschränkten
Zugriff auf fli4l - NET_3 soll z.B. keinen Zugriff auf SSH haben usw.

Zitat:
> Du solltest übrigens, um weitere Probleme eventuell besser zu
> verstehen, ab jetzt dann besser deine kompletten INPUT und FORWARD
> Regeln hier posten. Es wird dann ja jetzt (dank deiner neuen NIC) doch
> etwas konkreter und hat nix mehr mit reiner Theorie zu tun.

Status: IP_NET_3 ist live, Verkabelung steht. Squid ist zum Testen off.
Mit PF_INPUT_x='IP_NET_3 ACCEPT' kommen alle NET_3-clients ins Internet
und können sich gegenseitig netzübergreifend anpingen. Das bedeutet
für mich, daß mein NET_3 basistechnisch einwandfrei läuft. So ist das
aber ja nicht die Situation, die ich will. Also habe ich angefangen,
zurückzufahren. Zudem: Was nicht klappt, sind Zugriffe auf
Windows-Shares, und das ist ein Problem.

Zurückgefahren habe ich zunächst so:

PF_INPUT_N='3'
PF_INPUT_1='IP_NET_1 ACCEPT'
PF_INPUT_2='tmpl:samba DROP NOLOG'
PF_INPUT_3='prot:tcp xxx.xxx.xxx.xxx 22 ACCEPT'

PF_FORWARD_N='3'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_1 IP_NET_3 ACCEPT'

(plus immer PF_POSTROUTING_2='IP_NET_3 MASQUERADE' und prerouting, aber
letzteres ist hier irrelevant im Moment)

Das führt dazu, daß ich
1a) von meinen NET_1-clients alles im NET_3 anpingen kann
1b) von meinen NET_3-clients _nichts_ im NET_1 anpingen kann - ausser
doch IP_NET_1_IPADDR, also fli4l im NET_1-Netzwerk (warum genau klappt
das? Weil NET_1_IPADDR physisch die gleiche Maschine wie NET_3_IPADDR?
Sollte ja jedenfalls kein issue sein)
1c) auf eine Windows-Share von einem NET_1-Win-client auf einen
NET_3-Win-client nicht zugreifen kann - sehr schlecht, aber das ging ja
schon mit der eingangs beschriebenen Variante nicht.
1d) NET_3 keinen Internetzugang hat - korrekt mit obiger Einstellung.

Um Internetzugang auch für NET_3 wieder herzustellen, ohne dafür
IP_NET_3 ACCEPT zu setzen, dachte ich an:

PF_INPUT_N='9'
[...]
PF_INPUT_4='tmpl:dhcp IP_NET_3 ACCEPT'        # IPs via static dhcp
verteilt
PF_INPUT_5='tmpl:dns IP_NET_3 ACCEPT'
PF_INPUT_6='tmpl:ping IP_NET_3 ACCEPT'
PF_INPUT_7='tmpl:ntp IP_NET_3 ACCEPT'
PF_INPUT_8='tmpl:http IP_NET_3 ACCEPT'
PF_INPUT_9='tmpl:https IP_NET_3 ACCEPT'

Nix da, klappt nicht. Kann weder eine WAN-IP noch eine WAN-URL anpingen.
Wo ist mein (Denk-)Fehler?

Setze ich das:
PF_FORWARD_N='4'
[...]
PF_FORWARD_4='[IP von einem NET_3-client] IP_NET_1 ACCEPT'
dann kann ich von dieser IP
2a) ins NET_1 pingen
2b) nicht ins WAN pingen (weder IP noch URL) und via Browser ebenfalls
kein WAN-Zugang
2c) und von keinem client (egal ob NET_1 oder _3) auf verschiedene
Windows-Share netzübergreifend zugreifen

Mir leuchtet 2) ein, nicht jedoch die Situation bei 1). Was mache ich
falsch?  :? 

Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L