[fli4l] DMZ mit 3.10.3
Thomas Grunenberg
tho_gru at web.de
Di Sep 15 19:47:09 CEST 2015
Moin, moin,
Ich habe mit fli4l 3.6.2 eine DMZ konfiguriert. Mein Router hängt direkt
hinter einem Modem, so dass eine Schnittstelle PPPoE spricht und
deswegen keine IP-Adresse hat.
pc06 ist in dns_dhcp konfiguriert.
Meine bisherige Konfiguration (unter fli4l 3.6.2) ist:
######################################
IP_NET_N='2'
IP_NET_1='192.168.148.222/24'
IP_NET_1_DEV='eth0'
IP_NET_1_TYPE='green'
# eth1 is the PPPoE port
# IP address for DMZ
IP_NET_2='192.168.147.222/24'
IP_NET_2_DEV='eth2'
IP_NET_2_TYPE='orange'
OPT_DMZ='yes'
DMZ_NAT='yes'
DMZ_LOG='yes'
DMZ_RED_DEV='ppp0'
# connection from DMZ servers to RED device
DMZ_ORANGE_RED_N='1'
DMZ_ORANGE_RED_1='prot:tcp 80 ACCEPT' # allow access to http
# services of router to servers in DMZ
DMZ_ORANGE_ROUTER_N='1'
DMZ_ORANGE_ROUTER_1='53 ACCEPT' # accept dns requests
# ports to be fowarded from RED device to servers in DMZ
PORTFW_N='4'
PORTFW_1_TARGET='22' # forward ssh
PORTFW_1_NEW_TARGET='@pc06' # ...to dmz host
PORTFW_1_PROTOCOL='tcp' # ...using tcp
PORTFW_1_COMMENT='ssh auf Port 22'
PORTFW_2_TARGET='25565' # forward Minecarft (standard port)
PORTFW_2_NEW_TARGET='@pc06' # ...to dmz host
PORTFW_2_PROTOCOL='tcp' # ...using tcp
PORTFW_2_COMMENT='Minecraft Standard Port'
PORTFW_3_TARGET='5190' # forward Minecarft (separater
Minecraft server)
PORTFW_3_NEW_TARGET='@pc06:25566' # ...to dmz host
PORTFW_3_PROTOCOL='tcp' # ...using tcp
PORTFW_3_COMMENT='Minecraft separater Server'
PORTFW_4_TARGET='9987' # forward TS3 speech
PORTFW_4_NEW_TARGET='@pc06' # ...to dmz host
PORTFW_4_PROTOCOL='udp' # ...using tcp
PORTFW_4_COMMENT='TS3 Standard Port'
######################################
Jetzt möchte ich auf fli4l 3.10.3 wechseln. Dort wird OPT_DMZ aber nicht
mehr unterstützt.
Unter https://ssl.nettworks.org/wiki/display/f/DMZ+mit+dem+fli4l habe
ich ein Beispiel gefunden, wie unter 3.10.3 eine DMZ aufgebaut wird. Mir
ist aber nicht ganz klar, wie ich das "rote" device (also ppp0) in neuen
Regeln ansprechen soll.
ich habe mir folgende Konfiguration für fli4l 3.10.3 ausgedacht:
######################################
PF_FORWARD_N='4'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='if:IP_NET_1_DEV:any IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT'
PF_FORWARD_4='if:IP_NET_2_DEV:any IP_NET_2 ACCEPT'
PF_PREROUTING_N='4'
PF_PREROUTING_1='prot:tcp 22 DNAT:@pc06'
PF_PREROUTING_2='prot:tcp 25565 DNAT:@pc06'
PF_PREROUTING_3='prot:tcp 5190 DNAT:@pc06:25566'
PF_PREROUTING_4='prot:udp 9987 DNAT:@pc06'
PF_POSTROUTING_N='2'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
PF_POSTROUTING_2='IP_NET_2 MASQUERADE'
######################################
Würde das so klappen? Muss ich noch Einstellungen machen, damit DNS
Anfragen aus dem orangen Netz funktionieren?
Gruß
Thomas
Mehr Informationen über die Mailingliste Fli4L