[fli4l] Konfiguration - Zugriff auf verschiedene Netze

[Christoph Schulz]

Hallo!

TomW schrieb:

> PF_POSTROUTING_N='3' 			# number of 
POSTROUTING rules
> PF_POSTROUTING_1='IP_NET_1 IP_NET_2 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_2='IP_NET_1 MASQUERADE' # masquerade traffic leaving the
> subnet
> PF_POSTROUTING_3='IP_NET_2 MASQUERADE' # masquerade traffic leaving the
> subnet
> 
> Verstehe ich das richtig, hier muss ich nun noch ein
> 
> PF_POSTROUTING_4='IP_NET_1 IP_NET_2 MASQUERADE'
> 
> hinzufügen?

Diese Zeile würde absolut _gar nichts_ bringen, denn die erste Regel (wie 
ich bereits im letzten Beitrag ausführlich erläutert habe) sorgt dafür, dass 
diese vierte neue Regel gar nicht erst angeschaut würde -- ACCEPT 
überspringt immer alle noch folgenden Regeln.

> [...]
> Versteh ich nicht, in welchem Router? Hier handelt es sich doch auch um
> den fli4l!

Wenn du für _beide_ Netze (IP_NET_1 _und_ IP_NET_2) den fli4l als Default-
Router verwendest (wie konfigurierst du das auf deinen Hosts? per DHCP?), 
dann _sollte_ deine Konfiguration auch ohne funktionieren. Allerdings hast 
du in der Tat geschrieben (und ich habe es vorerst ignoriert):

> Verwende auch das OPT c3_surf, kann es damit zusammenhängen?

Ja! Denn c3surf fügt weitere Firewall-Regeln hinzu, die natürlich Zugriffe 
blockieren können. Verwendest du Regeln, die zu einer Blockade von Paketen 
von IP_NET_2 zu IP_NET_1 führen könnten?

Kannst du uns

a) deine c3surf-Konfiguration, sowie

b) deine *komplette* IPv4-Firewall-Konfiguration ("iptables -vnL" auf dem 
fli4l ausführen und Ergebnis speichern)

zeigen? Zu b) bietet sich ein Übergabemechanismus wie pastebin.com o.ä. mit 
entsprechend langer Laufzeit (ein Monat sollte reichen ;-) an, denn die 
Ausgabe wird naturgemäß sehr lang. (Eine gute Alternative zu pastebin.com 
ist IMHO hastebin.com, was ohne viel Schnickschnack daherkommt und einfach 
tut, was es soll.)


Gruß,
-- 
Christoph Schulz
[fli4l-Team]