[fli4l] DMZ mit 3.10.3

Thomas Grunenberg tho_gru at web.de
Di Sep 15 19:47:09 CEST 2015 

Moin, moin,

Ich habe mit fli4l 3.6.2 eine DMZ konfiguriert. Mein Router hängt direkt 
hinter einem Modem, so dass eine Schnittstelle PPPoE spricht und 
deswegen keine IP-Adresse hat.

pc06 ist in dns_dhcp konfiguriert.

Meine bisherige Konfiguration (unter fli4l 3.6.2) ist:
######################################
IP_NET_N='2'
IP_NET_1='192.168.148.222/24'
IP_NET_1_DEV='eth0'
IP_NET_1_TYPE='green'

# eth1 is the PPPoE port

# IP address for DMZ
IP_NET_2='192.168.147.222/24'
IP_NET_2_DEV='eth2'
IP_NET_2_TYPE='orange'

OPT_DMZ='yes'
DMZ_NAT='yes'
DMZ_LOG='yes'
DMZ_RED_DEV='ppp0'

# connection from DMZ servers to RED device
DMZ_ORANGE_RED_N='1'
DMZ_ORANGE_RED_1='prot:tcp  80  ACCEPT'  #  allow  access  to  http

# services of router to servers in DMZ
DMZ_ORANGE_ROUTER_N='1'
DMZ_ORANGE_ROUTER_1='53  ACCEPT' #  accept  dns  requests

# ports to be fowarded from RED device to servers in DMZ
PORTFW_N='4'
PORTFW_1_TARGET='22'                  #  forward ssh
PORTFW_1_NEW_TARGET='@pc06'           #  ...to  dmz  host
PORTFW_1_PROTOCOL='tcp'               #  ...using  tcp
PORTFW_1_COMMENT='ssh auf Port 22'
PORTFW_2_TARGET='25565'               #  forward Minecarft (standard port)
PORTFW_2_NEW_TARGET='@pc06'           #  ...to  dmz  host
PORTFW_2_PROTOCOL='tcp'               #  ...using  tcp
PORTFW_2_COMMENT='Minecraft Standard Port'
PORTFW_3_TARGET='5190'                #  forward Minecarft (separater 
Minecraft server)
PORTFW_3_NEW_TARGET='@pc06:25566'     #  ...to  dmz  host
PORTFW_3_PROTOCOL='tcp'               #  ...using  tcp
PORTFW_3_COMMENT='Minecraft separater Server'
PORTFW_4_TARGET='9987'                #  forward TS3 speech
PORTFW_4_NEW_TARGET='@pc06'           #  ...to  dmz  host
PORTFW_4_PROTOCOL='udp'               #  ...using  tcp
PORTFW_4_COMMENT='TS3 Standard Port'
######################################

Jetzt möchte ich auf fli4l 3.10.3 wechseln. Dort wird OPT_DMZ aber nicht 
mehr unterstützt.

Unter https://ssl.nettworks.org/wiki/display/f/DMZ+mit+dem+fli4l habe 
ich ein Beispiel gefunden, wie unter 3.10.3 eine DMZ aufgebaut wird. Mir 
ist aber nicht ganz klar, wie ich das "rote" device (also ppp0) in neuen 
Regeln ansprechen soll.

ich habe mir folgende Konfiguration für fli4l 3.10.3 ausgedacht:
######################################
PF_FORWARD_N='4'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='if:IP_NET_1_DEV:any IP_NET_1 ACCEPT'
PF_FORWARD_3='IP_NET_2 IP_NET_1 REJECT'
PF_FORWARD_4='if:IP_NET_2_DEV:any IP_NET_2 ACCEPT'

PF_PREROUTING_N='4'
PF_PREROUTING_1='prot:tcp 22 DNAT:@pc06'
PF_PREROUTING_2='prot:tcp 25565 DNAT:@pc06'
PF_PREROUTING_3='prot:tcp 5190 DNAT:@pc06:25566'
PF_PREROUTING_4='prot:udp 9987 DNAT:@pc06'

PF_POSTROUTING_N='2'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
PF_POSTROUTING_2='IP_NET_2 MASQUERADE'
######################################

Würde das so klappen? Muss ich noch Einstellungen machen, damit DNS 
Anfragen aus dem orangen Netz funktionieren?

Gruß
Thomas

Mehr Informationen über die Mailingliste Fli4L