[fli4l] Paketfilterregel

Markus Homburg zielscheibe at gmx.li
Di Jun 14 20:25:42 CEST 2016 

On 13.06.2016 18:35, Peter Schiefer wrote:
> Haloo Markus,
>
> Am Mon, 13 Jun 2016 18:09:18 +0200 schrieb Markus Homburg:
>
>> meinen fli4l habe ich hinter einer Fritzbox und hab
>> das Update auf 3.10.6 dazu genutzt, nicht mehr benötigte
>> Dinge zu entfernen. Dabei hab ich auch das Netz
>>
>> IP_NET_4_DEV
>>
>> entfernt, hatte aber im Paketfilter noch einen Eintrag:
>>
>> base.txt
>> PF_INPUT_1='IP_NET_1 ACCEPT'
>> PF_INPUT_2='if:IP_NET_4_DEV:any prot:tcp 2222 ACCEPT'
>>
>> Nach dem Neustart bekomme ich jetzt verständlicherweise folgende Meldung:
>>
>> (/etc/rc.d/rc360.fwrules) ERR: unknown variable 'IP_NET_4_DEV'
>
> das sollte so sein - besser wäre es natürlich, wenn das bereit mkfli4l beim
> buiuld melden würde.

Nebenbei: Ich hatte auch in der
dhcp_client.txt noch
IP_NET_4_DEV
drin stehen, auch dort hat mkfli4l nicht gemeckert :/


>
>> Ich bin jetzt aber mehr verwundert darüber, dass ich überhaupt noch auf
>> den Router komme, weil die Regel für Port 2222 für ssh gemacht
>> ist und ich von der Fritzbox aus über IP_NET_3 ankomme.
>>
>> Wieso habe ich noch Zugriff?
>
> um das Rauszubekommen, zeige bitte mal alle Variablen PF_* dewr base.txt
> und die Ausgabe des Befehles "iptables -nvL INPUT" vom Router.

PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
PF_INPUT_N='4'
PF_INPUT_1='IP_NET_1 ACCEPT'
PF_INPUT_2='if:IP_NET_4_DEV:any prot:tcp 2222 ACCEPT'
PF_INPUT_3='172.16.0.0/24 53 ACCEPT'
PF_INPUT_4='172.16.16.0/24 53 ACCEPT'
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_LOG_LIMIT='3/minute:5'
PF_FORWARD_REJ_LIMIT='1/second:5'
PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
PF_FORWARD_N='2'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='if:any:IP_NET_4_DEV ACCEPT'
PF_OUTPUT_POLICY='ACCEPT'
PF_OUTPUT_ACCEPT_DEF='yes'
PF_OUTPUT_LOG='no'
PF_OUTPUT_LOG_LIMIT='3/minute:5'
PF_OUTPUT_REJ_LIMIT='1/second:5'
PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
PF_OUTPUT_N='0'
PF_POSTROUTING_N='1'
PF_POSTROUTING_1='if:any:IP_NET_4_DEV MASQUERADE'
PF_PREROUTING_N='0'
PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_PREROUTING_CT_N='1'
PF_PREROUTING_CT_1='tmpl:ftp IP_NET_1 HELPER:ftp'
PF_PREROUTING_CT_2='tmpl:ftp any dynamic HELPER:ftp'
PF_OUTPUT_CT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_N='0'
PF_OUTPUT_CT_1='tmpl:ftp HELPER:ftp'
PF_USR_CHAIN_N='0'


Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
64493 5416K in-icmp icmp -- * * 0.0.0.0/0 0.0.0.0/0 /* 
PF_INPUT_ACCEPT_DEF */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED /* 
PF_INPUT_ACCEPT_DEF */
141K 32M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED /* 
PF_INPUT_ACCEPT_DEF */
775 49993 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 /* PF_INPUT_ACCEPT_DEF */
0 0 DROP all -- * * 127.0.0.1 0.0.0.0/0 ctstate NEW /* 
PF_INPUT_ACCEPT_DEF */
0 0 DROP all -- * * 0.0.0.0/0 127.0.0.1 ctstate NEW /* 
PF_INPUT_ACCEPT_DEF */
90228 14M PORTREDIRACCESS all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW /* 
PF_INPUT_ACCEPT_DEF */
91285 14M in-privoxy-1 all -- * * 0.0.0.0/0 0.0.0.0/0 /* privoxy access */
17379 7589K in-dhcpd udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* dhcp 
requests access */
40450 2710K in-dns-udp udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* 
filters DNS UDP requests */
12 544 in-dns-tcp tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* filters 
DNS TCP requests */
20493 2481K ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0 /* 
PF_INPUT_1='IP_NET_1 ACCEPT' */
7 448 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 /* 
PF_INPUT_2='if:IP_NET_4_DEV:any prot:tcp 2222 ACCEPT' */
0 0 ACCEPT tcp -- * * 172.16.0.0/24 0.0.0.0/0 tcp dpt:53 /* 
PF_INPUT_3='172.16.0.0/24 53 ACCEPT' */
0 0 ACCEPT udp -- * * 172.16.0.0/24 0.0.0.0/0 udp dpt:53 /* 
PF_INPUT_3='172.16.0.0/24 53 ACCEPT' */
0 0 ACCEPT tcp -- * * 172.16.16.0/24 0.0.0.0/0 tcp dpt:53 /* 
PF_INPUT_4='172.16.16.0/24 53 ACCEPT' */
0 0 ACCEPT udp -- * * 172.16.16.0/24 0.0.0.0/0 udp dpt:53 /* 
PF_INPUT_4='172.16.16.0/24 53 ACCEPT' */
12347 820K in-rej all -- * * 0.0.0.0/0 0.0.0.0/0


>
>
> Gruß Peter
>

Viele Grüße
Markus

Mehr Informationen über die Mailingliste Fli4L