[fli4l] DMZ mit 3.10.3
Hans Bachner
Hans at Bachner.priv.at
Mi Sep 16 02:36:57 CEST 2015
Hallo,
meine Konfiguration ist zwar komplett anders (Ethernet-Router zu einem
SDSL-Router mit ISDN als Fallback) und daher nicht wirklich
vergleichbar. Aber:
> Muss ich noch Einstellungen machen, damit DNS
> Anfragen aus dem orangen Netz funktionieren?
Du musst jedenfalls in der PF_INPUT Chain den Zugriff auf den fli4l
erlauben, also etwas in dieser Art:
PF_INPUT_n='tmpl:dns IP_NET_2 ACCEPT'
Ich habe übrigens - vor allem aus Gründen der Übersichtlichkeit - die
alten DMZ-Regeln in zwei User-Chains ausgelagert (usr-dmz-inp und
usr-dmz-fwd) und die dann in die Standard-Chains einfach eingehängt
(IP_NET_n_DEV auf deine Konfiguration angepasst):
PF_INPUT_n='if:IP_NET_2_DEV:any usr-dmz-inp'
PF_FORWARD_n='if:IP_NET_2_DEV:any usr-dmz-fwd BIDIRECTIONAL'
Wenn ich an der DMZ etwas ändern möchte (einen Rechner oder einen
Dienst hinzufügen), bleiben PF_INPUT und PF_FORWARD unverändert; die
neuen Regeln wandern alle in die User-Chains.
Hope this helps,
Hans.
Mehr Informationen über die Mailingliste Fli4L