[fli4l] eingeschränktes Portforwarding in 3.10

[Stefan Puschek]

Hallo Christoph,
..
>> PF_PREROUTING_1='dynamic:10000-10100 DNAT:192.168.6.7'
>> PF_PREROUTING_2='dynamic:5060 DNAT:192.168.6.7'
>> [...]
>> Dies möchte ich zukünftig einschränken _NUR_ auf Pakete die von sipgate.de
>> kommen. Pakete die _NICHT_ von sipgate.de kommen (aber mit Zielport
>> 10000-10100 oder 5060) sollen gedropped werden.
> 
> Du kannst keine DNS-Namen in PREROUTING-Regeln verwenden.

das ist natürlich ärgerlich

> fli4l bringt mit der 3.10.1 eine solche Funktion für aus dem LAN 
> _ausgehende_ Pakete (FORWARD) mit, d.h. du kannst eine Regel angeben, welche 
> die ausgehende Kommunikation zu (z.B.) windowsupdate.microsoft.com erlaubt, 
> *.microsoft.com aber ansonsten sperrt. Das funktioniert aber nicht mit 
> PREROUTING, wo die Pakete von _außen_ kommen.

nun könnte ich natürlich den Korinthenkacker machen und Folgendes vorschlagen:

wenn ich die EINGEHENDEN Pakete nicht filtern kann, dann mache ich das eben bei 
den AUSGEHENDEN Paketen: ich will einem Host der NICHT zu sipgate.de (also den 
DNS-Namen angeben an Stelle der IP) gehört garnicht antworten - soll er doch 
ewig auf eine Antwort warten :)

würde das gehen - rein technische Frage ???

dass das keine gute Lösung ist, weiss ich - denn es schützt mich nicht vor DOS-
Attacken

> Alles, was du machen kannst ist, dir alle Adressen von sipgate.de zu 
> besorgen ("dig", "host", "nslookup" etc. sind hier deine Freunde) und diese 
> numerisch in die Regeln einzutragen, also z.B. so:
> 
> PF_PREROUTING_1='217.10.79.9 dynamic:10000-10100 DNAT:192.168.6.7'
> PF_PREROUTING_2='217.10.79.9 dynamic:5060 DNAT:192.168.6.7'

so werde ich das vorerst machen - und dann auf dem eis einen cron-job der 
regelmässig überprüft ob sich die IP von sipgate.de auch nicht geändert hat.

Vielen Dank für Deine Hilfe - das Archiv und ich danken Dir!

Groetjes
Stefan