[fli4l] Konfiguration - Zugriff auf verschiedene Netze

[Christoph Schulz]

Hallo!

TomW schrieb:

> Kann mir hier denn keiner mehr helfen?
> Oder ist das was ich will nicht möglich?

Das Problem ist, dass c3surf seine Regeln noch _vor_ den Regeln

    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            
0.0.0.0/0            ctstate RELATED /* PF_FORWARD_ACCEPT_DEF */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            
0.0.0.0/0            ctstate ESTABLISHED /* PF_FORWARD_ACCEPT_DEF */

installiert. Dadurch kommen Pakete von 192.168.2.0/24 im Netz 192.168.3.0/24 
zwar an, aber die Antwortpakete nicht mehr, weil die c3surf-Regel

    0     0 REJECT     all  --  *      *       192.168.3.0/24       
0.0.0.0/0            /* prot:any 192.168.3.1/24 any REJECT */ reject-with 
icmp-port-unreachable

(in der Kette c3surf_control) jegliche Pakete von 192.168.3.0/24 irgendwohin 
unterbindet.

Man könnte analysieren, ob man den c3surf-Regelblock nicht _nach_ den 
PF_FORWARD_ACCEPT_DEF-Regeln (also hinter

    0     0 PORTFWACCESS  all  --  *      *       0.0.0.0/0            
0.0.0.0/0            ctstate NEW /* PF_FORWARD_ACCEPT_DEF */

) schieben könnte. Dann würde die ESTABLISHED-Regel greifen und die 
Antwortpakete erlauben. Aber ich nutze c3surf nicht, so dass ich mir erst 
einmal eine Minimalkonfiguration mit mehreren VMs etc. bauen müsste. Denn es 
könnte unerwünschte Nebeneffekte geben, etwa dass zur Erlaubniszeit 
langlebige (TCP-)Verbindungen aufgebaut und in der Verbotszeit weitergenutzt 
werden. Das ist vermutlich unerwünscht.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]