[fli4l] PF_INPUT - ein paar Verständnisfragen

Christoph Schulz fli4l at kristov.de
Sa Jan 31 13:53:00 CET 2015


Hallo!

K.  Dreier schrieb:

>> >  PF_INPUT_2='tmpl:samba DROP NOLOG'
>> 
>> Verwerfe alle Samba-Anfragen an den fli4l und logge nichts davon
> 
> Auch das verstehe ich so, daß es das ist, was ich (und wahrscheinlich
> die weitere Menschheit) will, nämlich daß diese Samba-Pakete das
> LAN/die LANs nicht ins WAN verlassen. Richtig?

Nein. Pakete, die via PF_INPUT_x verarbeitet werden, sind per Definition an 
den fli4l gesandt und nicht irgendwo anders hin. Wenn eine PF_INPUT-Regel 
(wie oben) also SMB/CIFS-Pakete verwirft, die *an den Router* gerichtet 
sind, dann hat das _nichts_ damit zu tun, ob der fli4l andere SMB/CIFS-
Pakete durchlässt, die eben *nicht* an den Router gerichtet sind (sondern 
z.B. an eine Adresse außerhalb des LANs). Die PF_INPUT-Regel hat also mit 
dem WAN nicht das geringste zu tun.

Wie du später selbst schreibst:

> Ok, das war mein Denkfehler bzw. ich habe es etwas vermischt. Meine
> PF_FORWARD_Regeln hatten das ja eigentlich doch als Grundlage. Die
> Tatsache, daß NET_1 ins WAN kommt, liegt also _nicht_ an
> PF_INPUT_x='IP_NET_1 ACCEPT', sondern an PF_FORWARD_x='IP_NET_1
> ACCEPT'.

Genauso ist es.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L