[fli4l] DMZ mit Fli4l 3.10.1
Christoph Schulz
fli4l at kristov.de
Fr Jan 30 20:55:08 CET 2015
Hallo!
Torsten Kästel schrieb:
> Nun stehe ich vor dem Problem, die in der alten Konfiguration
> vorhandenen Möglichkeiten z.B.
>
> DMZ_ORANGE_ROUTER_N='4'
> DMZ_ORANGE_ROUTER_1='tmpl:dns ACCEPT' # allow access to dns
> DMZ_ORANGE_ROUTER_2='113 ACCEPT' # allow access to Ident
> DMZ_ORANGE_ROUTER_3='tmpl:syslog ACCEPT' # allow access to syslog
> DMZ_ORANGE_ROUTER_4='tmpl:dhcp ACCEPT' # allow access to dhcp
>
> irgendwie mit den jetztigen Regeln abzubilden.
>
> Kann mit dabei jemand eine Tipp geben? Welche Regeln muss ich
> definieren, dass die Rechner aus der DMZ (eth1, IP_NET_2) auf den Router
> zugreifen können?
PF_INPUT_1='tmpl:dns IP_NET_2 ACCEPT'
PF_INPUT_2='IP_NET_2 any:113 ACCEPT'
PF_INPUT_3='tmpl:syslog IP_NET_2 ACCEPT'
PF_INPUT_4='tmpl:dhcp IP_NET_2 ACCEPT'
Eigentlich ganz simpel. Du erlaubst die entsprechenden Zugriffe auf den
fli4l (= INPUT-Kette) von deiner DMZ aus (= IP_NET_2).
> Und welche Regeln brauche ich, um von der DMZ ins Internet zu kommen
> z.B. für http?
Das ist ein Zugriff *über den Router hinweg*, also die FORWARD-Kette. Falls
du z.B. DSL nutzt, wäre dies die ausgehende Schnittstelle "pppoe" und somit
die folgende Regel:
PF_FORWARD_1='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
Allerdings musst du aufpassen, dass du deine Einschränkungen _vorher_
formulierst, damit sie vorher greifen. Lässt du das "if:eth1:pppoe" oben
weg, dann darf deine DMZ auch via HTTP auf z.B. Rechner in IP_NET_1
zugreifen! Willst du das verhindern, muss diese Regel _vorher_ erscheinen:
PF_FORWARD_1='IP_NET_2 IP_NET_1 REJECT'
PF_FORWARD_2='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
Das hier
PF_FORWARD_1='tmpl:http if:eth1:pppoe IP_NET_2 ACCEPT'
PF_FORWARD_2='IP_NET_2 IP_NET_1 REJECT'
funktioniert (für HTTP-Verbindungen) nicht, weil die erste Regel bereits
solche Verbindungn aus IP_NET_2 überallhin (also auch ins IP_NET_1) erlaubt
und die zweite Regel somit nicht mehr zum Zuge kommt. (Sie gilt natürlich
für alle anderen Protokolle, die nicht Port 80 nutzen.)
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L