[fli4l] DMZ mit 3.10.4
Thomas Grunenberg
tho_gru at web.de
Mo Nov 2 06:33:39 CET 2015
Hi Florian,
>>> Daher solltest du noch einen weiteren Eintrag vornehmen und
>>> DNS_LISTEN_N um eins erhöhen:
>>>
>>> DNS_LISTEN_N='2' DNS_LISTEN_1='IP_NET_1_IPADDR'
>>> DNS_LISTEN_2='IP_NET_2_IPADDR'
>>>
>> Leider ist das nicht die Lösung. Eingebaut, neu gestartet, geht
>> nicht. Deinen Korrektur-Vorschlag wieder ausgebaut. Hinweis: Der
>> Server in der DMZ ist so konfiguriert, dass er IP_NET_1_IPADDR als
>> DNS-Server nutzt.
>
> Ja, das hättest du mal vorher erwähnen sollen :) Es fehlt mit
> Sicherheit noch eine Firewall Regel, die den DNS Verkehr durch den
> Router zu IP_NET_1_IPADDR erlaubt. Z.B.
>
> PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR 53 ACCEPT'
Das scheitert mit der Meldung (aus mkfli4l.bat):
wrong value of variable PF_INPUT_4: 'IP_NET_2 IP_NET_1_IPADDR 53
ACCEPT' (please refer to the documentationno errormessage yetno
errormessage yet)
Ich habe es auch mit Werten wie 'if:IP_NET_2 IP_NET_1_IPADDR 53 ACCEPT'
versucht. Kam aber immer die gleiche Fehlermeldung...
>
> Wie ist denn die Einstellung von "PF_INPUT_ACCEPT_DEF" in der
> config/base.txt?
>
Dort steht bei mir:
PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
> Ja klar. Setze mal PF_INPUT_LOG='yes' und schalte (falls nicht eh
> schon eingeschaltet) den Syslog-Daemon ein mit OPT_SYSLOGD='yes'. Dann
> kannst du die Ausgaben des Kernels bzgl. der Firewall mittels
> SYSLOGD_DEST_1='kernel.* /dev/console' auf den Bildschirm ausgeben
> lassen. Alternativ mit 'kernel.* /var/lib/persistent/syslog' auch in
> eine Datei auf dem persistenten Speicher.
>
Wenn der Build klappt, werde ich vom Ergebnis berichten.
Gruß
Thomas
Mehr Informationen über die Mailingliste Fli4L