[fli4l] DMZ mit 3.10.4
Peter Schiefer
newsgroup at lan4me.de
Di Nov 3 20:19:00 CET 2015
Hallo Thomas,
Am Tue, 3 Nov 2015 19:09:01 +0100 schrieb Thomas Grunenberg:
>>> Ja, das hättest du mal vorher erwähnen sollen :) Es fehlt mit
>>> Sicherheit noch eine Firewall Regel, die den DNS Verkehr durch den
>>> Router zu IP_NET_1_IPADDR erlaubt. Z.B.
durch den Router <=> es soll geroutet/FORWARD werden
>>> PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR 53 ACCEPT'
warum dann ein INPUT Regel????
> Damit die Regel nicht als fehlerhaft gemeldet wird muss sie wie folgt
> lauten:
> PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR:53 ACCEPT'
> (es fehlte ein Doppelpunkt vor der 53)
und wenn es dann noch FORWARD gewesen wäre ;)
> Leider hat diese Änderung die Lösung nicht gebracht, weil ja aller
> Traffic von der DMZ ins LAN (sprich IP_NET_1_IPADDR) mittels
> PF_USR_CHAIN_2_RULE_1='IP_NET_2 IP_NET_1 REJECT'
> unterbunden wird. Deswegen _konnte_ der Zugriff mit obiger Regel nicht
> einfach funktionieren. Vielleicht hätte ich mit Umsortieren den Zugriff
genau - da kommt ev. noch die Reihenfolg der Regeln ins spiel
> DNS_LISTEN_N='2'
> DNS_LISTEN_1='IP_NET_1_IPADDR' # LAN
> DNS_LISTEN_2='IP_NET_2_IPADDR' # DMZ
>
> 2) Den Server in der DMZ so umkonfiguriert, dass er IP_NET_2_IPADDR als
> DNS-Server nutzt. Damit klappt das nun.
so hätte ich das auch umgesetzt - warum Pakete Routen wenn Sie direkt an
der Schnittstelle bearbeitet werden können ;)
Gruß Peter
Mehr Informationen über die Mailingliste Fli4L