[fli4l] Konfiguration - Zugriff auf verschiedene Netze

Florian Wolters florian at florian-wolters.de
Mo Nov 2 00:21:09 CET 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Hallo Tom,

> PF_FORWARD_N='12' PF_FORWARD_1='4662 DROP'      				# Port 4662
> (emule) abweisen PF_FORWARD_2='4672 DROP'      				# Port 4672
> (emule) abweisen PF_FORWARD_3='6881-6890 DROP'      			# Port
> 6881-6890 (bittorent) abweisen PF_FORWARD_4='6902-6968 DROP'
> # Port 6902-6968 (bittorent) abweisen PF_FORWARD_5='6970-6999 DROP'
> # Port 6970-6999 (bittorent) abweisen PF_FORWARD_6='IP_NET_2
> 192.168.178.1 DROP' 		# Kommunikation von dem Netz 'gaeste' zur
> Fritzbox ist NICHT erlaubt PF_FORWARD_7='IP_NET_1 192.168.3.102
> ACCEPT BIDIRECTIONAL'		# Netz 'privat' auf den AP1 im Netz 'gaeste'
> zugreifen PF_FORWARD_8='IP_NET_1 192.168.3.103 ACCEPT
> BIDIRECTIONAL'		# Netz 'privat' auf den AP2 im Netz 'gaeste'
> zugreifen PF_FORWARD_9='IP_NET_2 IP_NET_1 DROP'   		# Restliche
> Kommunikation zwischen dem Netz 'gaeste' dem Netz 'privat' ist
> NICHT erlaubt PF_FORWARD_10='tmpl:samba DROP'      			# drop samba
> traffic if it tries to leave the subnet PF_FORWARD_11='IP_NET_1
> ACCEPT'				# Netz 'privat' darf ins Internet

Mit dieser Regel darfst du trotzdem auf alle Hosts in IP_NET_2
zugreifen. Sie hebelt also gewissermaßen die Regeln 7 und 8 aus. Du
müsstest davon noch ein PF_FORWARD_x='IP_NET_1 IP_NET_2 DROP'
einfügen, damit der Zugriff auf die restlichen Hosts in IP_NET_2
tatsächlich unterbunden wird.

> PF_FORWARD_12='IP_NET_2 ACCEPT'				# Netz 'gaeste' darf ins
> Internet
> 
> 
> PF_POSTROUTING_N='3' 			# number of POSTROUTING rules 
> PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL' 
> PF_POSTROUTING_2='IP_NET_1 MASQUERADE' # masquerade traffic leaving
> the subnet PF_POSTROUTING_3='IP_NET_2 MASQUERADE' # masquerade
> traffic leaving the subnet
> 
> So besser?

Fast. S.o.

Viele Grüße

   Florian

- --
fli4l-Team



-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=ZtQg
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste Fli4L