[fli4l] DMZ mit 3.10.4
Thomas Grunenberg
tho_gru at web.de
Di Nov 3 19:09:01 CET 2015
Am 02.11.2015 um 06:33 schrieb Thomas Grunenberg:
Hi Florian,
> Hi Florian,
>
>>>> Daher solltest du noch einen weiteren Eintrag vornehmen und
>>>> DNS_LISTEN_N um eins erhöhen:
>>>>
>>>> DNS_LISTEN_N='2' DNS_LISTEN_1='IP_NET_1_IPADDR'
>>>> DNS_LISTEN_2='IP_NET_2_IPADDR'
>>>>
>>> Leider ist das nicht die Lösung. Eingebaut, neu gestartet, geht
>>> nicht. Deinen Korrektur-Vorschlag wieder ausgebaut. Hinweis: Der
>>> Server in der DMZ ist so konfiguriert, dass er IP_NET_1_IPADDR als
>>> DNS-Server nutzt.
>>
>> Ja, das hättest du mal vorher erwähnen sollen :) Es fehlt mit
>> Sicherheit noch eine Firewall Regel, die den DNS Verkehr durch den
>> Router zu IP_NET_1_IPADDR erlaubt. Z.B.
>>
>> PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR 53 ACCEPT'
>
> Das scheitert mit der Meldung (aus mkfli4l.bat):
> wrong value of variable PF_INPUT_4: 'IP_NET_2 IP_NET_1_IPADDR 53
> ACCEPT' (please refer to the documentationno errormessage yetno
> errormessage yet)
>
Damit die Regel nicht als fehlerhaft gemeldet wird muss sie wie folgt
lauten:
PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR:53 ACCEPT'
(es fehlte ein Doppelpunkt vor der 53)
Leider hat diese Änderung die Lösung nicht gebracht, weil ja aller
Traffic von der DMZ ins LAN (sprich IP_NET_1_IPADDR) mittels
PF_USR_CHAIN_2_RULE_1='IP_NET_2 IP_NET_1 REJECT'
unterbunden wird. Deswegen _konnte_ der Zugriff mit obiger Regel nicht
einfach funktionieren. Vielleicht hätte ich mit Umsortieren den Zugriff
von auf der DMZ auf den DNS-Server auf IP_NET_1_IPADDR erlauben können,
dieser Gedanke war mir aber zu heiß (der Rechner in der DMZ wäre dann
"mit einem Bein" im LAN).
Ich habe jetzt folgende Lösung umgesetzt:
1) DNS-Server auf dem Segment der DMZ lauschen lassen (wie von Dir
vorgeschlagen):
DNS_LISTEN_N='2'
DNS_LISTEN_1='IP_NET_1_IPADDR' # LAN
DNS_LISTEN_2='IP_NET_2_IPADDR' # DMZ
2) Den Server in der DMZ so umkonfiguriert, dass er IP_NET_2_IPADDR als
DNS-Server nutzt. Damit klappt das nun.
Danke für Deine Unterstützung.
Gruß
Thomas
Mehr Informationen über die Mailingliste Fli4L