[fli4l] 3 Unabhängige Netze mit Paketfilter
Markus Homburg
zielscheibe at gmx.li
Mo Mär 9 23:29:10 CET 2015
On 07.03.2015 20:54, Martin Dresbach wrote:
> Hallo Markus.
Hallo Martin,
> Ich gehe davon aus, dass alle drei Netze ins WAN dürfen, oder?
Ja, alle drei sollen ins www.
> Kommunikation ist zwischen allen Netzen untereinander verboten, wenn ich
> das richtig verstehe.
Ja, auch das ist korrekt.
> Interessant wäre dabei aber zu wissen, wie deine Einwahl ins WAN
> erfolgt. Also DSL, ISDN, Kabelmodem...
ADSL
> Wenn ich von einer gewöhnlichen DSL-Anbindung ausgehe, könntest du das
> mit zwei simplen FORWARD-Regeln lösen:
>
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_N='2'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='if:any:pppoe ACCEPT'
Wenn ich also explizit keine Verbindung zwischen den Netzen erlaube, ist
diese also eh schon verboten?
D.h. folgende (umständlich formulierte) Regel, erreicht das gleiche?
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1:pppoe ACCEPT'
PF_FORWARD_3='IP_NET_2:pppoe ACCEPT'
PF_FORWARD_4='IP_NET_3:pppoe ACCEPT'
Wenn ich dann aber z.B. für das 3. Netz noch Dienste verbieten möchte,
muss ich das Netz wie oben aufschlüsseln und kann das z.B. https und ssh
verbieten.
[...]
PF_FORWARD_4='IP_NET_3:pppoe tmpl:https DROP'
PF_FORWARD_5='IP_NET_3:pppoe tmpl:ssh DROP'
PF_FORWARD_6='IP_NET_3:pppoe ACCEPT'
> Liebe Grüße,
> Martin
Viele Grüße
Markus
Mehr Informationen über die Mailingliste Fli4L