[fli4l] Portweiterleitung an Server mit fremden Standardgateway

Christoph Schulz fli4l at kristov.de
Mi Apr 6 08:39:36 CEST 2016 

Hallo!

Gotthard Anger schrieb:

> Hier gibt es ein Missverständnis
> Ich kenne sehr wohl die Adresse des Fli (im gleichen Subnetz wie der
> Webserver),

Prima. Das ist alles was du brauchst.

> aber ich kann nicht im Voraus wissen, mit welcher Adresse
> der User reinkommt, der  die Website auf Port 81 aufmachen will.

Ja, das ist aber auch völlig unnötig.

> Deswegen kann ich dem Webserver keine Route für diesen Zweck
> präsentieren, sondern der Fli muss maskieren.

Genau. Und trotzdem brauchst du eine explizite Route vom Webserver _zum 
fli4l_ (*nicht* zum Anfragenden), denn der Webserver hat eine Default-Route, 
die *nicht* über den fli4l geht (wenn ich das richtig verstanden habe).

> Im Moment teste ich gemäß Peters Empfehlung mit
> ---
> PF_POSTROUTING_2='if:any:pppoe @webserver 81 MASQUERADE'
> ---
> allerdings erscheint bei dieser Regel in der Webgui vom Fli als Source
> der @webserver.

Ja, die ist auch verkehrt.

Du möchtest, dass der fli4l in Richtung Webserver maskiert? Dann musst du

  PF_POSTROUTING_2='if:any:pppoe any @webserver:81 MASQUERADE'

verwenden. (Das "any" kannst du auch weglassen, ich bevorzuge jedoch eine 
verständliche Regelsyntax.)

Allerdings muss ich hier noch einmal nachhaken: Ist dein Webserver wirklich 
*nicht* in deinem LAN? Wenn er im LAN ist, dann verstehe ich nicht, warum 
seine Default-Route nicht zum fli4l geht. Wenn er *nicht* im LAN ist, dann 
ist er normalerweise "im Internet", d.h. hinter einer entsprechenden 
Anbindung via DSL, ISDN etc. Du hast oben "pppoe" verwendet. Das bedeutet, 
dass deine Internet-Anbindung via PPPoE stattfindet. In diesem Falle hast du 
doch sicherlich eine *generelle* Masquerading-Regel fürs IPv4-Internet -- 
alles andere wäre höchst seltsam. Insofern müsstest du da doch gar nicht 
zusätzlich in Richtung Webserver maskieren???

Ich "befürchte", der Webserver ist hinter einem OpenVPN-Tunnel o.ä. Aber das 
ist nur geraten. Du solltest wirklich mehr Infos "rausrücken", sonst raten 
hier alle nur herum...


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4L