[fli4l] DMZ mit 3.10.3

Hans Bachner Hans at Bachner.priv.at
Mi Sep 16 02:36:57 CEST 2015


Hallo,

meine Konfiguration ist zwar komplett anders (Ethernet-Router zu einem
SDSL-Router mit ISDN als Fallback) und daher nicht wirklich
vergleichbar. Aber:

> Muss ich noch Einstellungen machen, damit DNS
> Anfragen aus dem orangen Netz funktionieren?

Du musst jedenfalls in der PF_INPUT Chain den Zugriff auf den fli4l
erlauben, also etwas in dieser Art:
PF_INPUT_n='tmpl:dns IP_NET_2 ACCEPT'

Ich habe übrigens - vor allem aus Gründen der Übersichtlichkeit - die
alten DMZ-Regeln in zwei User-Chains ausgelagert (usr-dmz-inp und
usr-dmz-fwd) und die dann in die Standard-Chains einfach eingehängt
(IP_NET_n_DEV auf deine Konfiguration angepasst):

PF_INPUT_n='if:IP_NET_2_DEV:any usr-dmz-inp'
PF_FORWARD_n='if:IP_NET_2_DEV:any usr-dmz-fwd BIDIRECTIONAL'

Wenn ich an der DMZ etwas ändern möchte (einen Rechner oder einen
Dienst hinzufügen), bleiben PF_INPUT und PF_FORWARD unverändert; die
neuen Regeln wandern alle in die User-Chains.

Hope this helps,
Hans.


Mehr Informationen über die Mailingliste Fli4L