[fli4l] 3 Unabhängige Netze mit Paketfilter
Markus Homburg
zielscheibe at gmx.li
Di Mär 10 21:56:09 CET 2015
On 10.03.2015 03:46, Martin Dresbach wrote:
> Hallo Markus.
>
> Um deine Fragen aber letztendlich noch zu beantworten (und Christoph zu
> ergänzen)...
Danke (euch beiden).
>
> Zitat:
>> Wenn ich also explizit keine Verbindung zwischen den Netzen erlaube,
>> ist diese also eh schon verboten?
>
> Genau dafür sorgt halt deine verwendete Standard-Policy, also in meinem
> Beispiel halt PF_FORWARD_POLICY='REJECT'. Die Regeln, die du erstellst
> (und auch die Standardregeln, falls aktiv) sind also Ausnahmen bzw.
> Abweichungen von diesem Standardverhalten.
>
> Zitat:
>> Wenn ich dann aber z.B. für das 3. Netz noch Dienste verbieten
>> möchte,
>> muss ich das Netz wie oben aufschlüsseln und kann das z.B. https
>> und ssh
>> verbieten.
>
>
> Abgesehen von deiner falschen Syntax stimmt deine Idee aber FAST. Das
> Aufschlüsseln der Netze kannst du dir auch sparen, solange die
> Reihenfolge der Regeln stimmt. Natürlich KANNST du sie auch
> aufschlüsseln, aber warum mehr Arbeit machen als nötig? Um also wie in
> deinem (falschen) Beispiel https und ssh NUR für das IP_NET_3 zu
> verbieten würden die kompletten Regeln so aussehen:
>
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_N='4'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='tmpl:https if:IP_NET_3_DEV:pppoe DROP'
> PF_FORWARD_3='tmpl:ssh if:IP_NET_3_DEV:pppoe DROP'
> PF_FORWARD_4='if:any:pppoe ACCEPT'
Prima :)
>
>
> Liebe Grüße,
> Martin
Viele Grüße
Markus
Mehr Informationen über die Mailingliste Fli4L