[fli4l] PF_INPUT - ein paar Verständnisfragen
Christoph Schulz
fli4l at kristov.de
Sa Jan 31 13:53:00 CET 2015
Hallo!
K. Dreier schrieb:
>> > PF_INPUT_2='tmpl:samba DROP NOLOG'
>>
>> Verwerfe alle Samba-Anfragen an den fli4l und logge nichts davon
>
> Auch das verstehe ich so, daß es das ist, was ich (und wahrscheinlich
> die weitere Menschheit) will, nämlich daß diese Samba-Pakete das
> LAN/die LANs nicht ins WAN verlassen. Richtig?
Nein. Pakete, die via PF_INPUT_x verarbeitet werden, sind per Definition an
den fli4l gesandt und nicht irgendwo anders hin. Wenn eine PF_INPUT-Regel
(wie oben) also SMB/CIFS-Pakete verwirft, die *an den Router* gerichtet
sind, dann hat das _nichts_ damit zu tun, ob der fli4l andere SMB/CIFS-
Pakete durchlässt, die eben *nicht* an den Router gerichtet sind (sondern
z.B. an eine Adresse außerhalb des LANs). Die PF_INPUT-Regel hat also mit
dem WAN nicht das geringste zu tun.
Wie du später selbst schreibst:
> Ok, das war mein Denkfehler bzw. ich habe es etwas vermischt. Meine
> PF_FORWARD_Regeln hatten das ja eigentlich doch als Grundlage. Die
> Tatsache, daß NET_1 ins WAN kommt, liegt also _nicht_ an
> PF_INPUT_x='IP_NET_1 ACCEPT', sondern an PF_FORWARD_x='IP_NET_1
> ACCEPT'.
Genauso ist es.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L