[fli4l] fli4l als reiner Ethernet-Router

[Christoph Schulz]

Hallo!

Matthias schrieb:

> Entsprechend gibt es auch eine Routing-Regel:
> IP_ROUTE_N='1'
> IP_ROUTE_1='0.0.0.0/0 192.168.11.10' # default route zum IPCop
> 
> Ich verstehe die Doku so, dass eine Postrouting-Regel nur dann nötig
> ist, wenn maskiert werden soll. Das will ich ja aber gerade nicht. Es
> scheint kompliziert (grübel).

Ich habe jetzt nicht den ganzen Thread im Detail verfolgt, aber wenn du 
_nicht_ maskierst, dann muss jeder Router deine Route "zurück" _explizit_ 
kennen.

Wenn du also eine Situation hast wie

Netz A --> Router A1 -->...--> Router An --> Netz B

und kein Router A1 ... An maskiert, dann muss eine Rückantwort von Netz B an 
Netz A (denke z.B. an eine ICMPv4-Echo-Antwort) ja den Weg zurückfinden, 
d.h. _alle_ Router (A1 .... An) auf dem Rückweg müssen wissen, wo Netz A 
ist. Vermutlich wird dies hier verletzt.

> FORWARD-Regeln für die Subnetze der IPCop-verwalteten Netze zum fli4l
> brauche ich so nicht mehr, da aus der DMZ nichts in die anderen Netze
> dringen darf und das für WLAN ursprünglich vorgesehene Netz jetzt
> nicht mehr genutzt wird. Ich leite also nur noch vom fli4l zum IPCop und
> von dort ins WAN. Die andere Richtung ist irrelevant. Das macht es
> vielleicht ein wenig einfacher.

Wieso ist die Rückrichtung irrelevant? Es geht hier nicht um die _Firewall_ 
(wo dies mit einer Stateful Firewall wg. Connection Tracking tatsächlich 
irrelevant ist, ob die FORWARD-Rückrichtung explizit erlaubt wird oder 
nicht), sondern ums _Routing_. Es gibt keine "impliziten Rückrouten" wie bei 
der Firewall. Alle Routen müssen explizit bekannt sein.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]