[fli4l] Paketfilterregel

Peter Schiefer newsgroup at lan4me.de
So Jun 19 11:10:52 CEST 2016


Hallo Markus,

Am Tue, 14 Jun 2016 20:25:42 +0200 schrieb Markus Homburg:

>>> das Update auf 3.10.6 dazu genutzt, nicht mehr benötigte
>>> Dinge zu entfernen. Dabei hab ich auch das Netz
>>>
>>> IP_NET_4_DEV
>>>
>>> entfernt, hatte aber im Paketfilter noch einen Eintrag:
>>>
>>> base.txt
>>> PF_INPUT_1='IP_NET_1 ACCEPT'
>>> PF_INPUT_2='if:IP_NET_4_DEV:any prot:tcp 2222 ACCEPT'
>>>
>>> Nach dem Neustart bekomme ich jetzt verständlicherweise folgende Meldung:
>>>
>>> (/etc/rc.d/rc360.fwrules) ERR: unknown variable 'IP_NET_4_DEV'
>>
>> das sollte so sein - besser wäre es natürlich, wenn das bereit mkfli4l beim
>> buiuld melden würde.

> 
> Nebenbei: Ich hatte auch in der
> dhcp_client.txt noch
> IP_NET_4_DEV
> drin stehen, auch dort hat mkfli4l nicht gemeckert :/

auch nicht schön ;)

>>> Ich bin jetzt aber mehr verwundert darüber, dass ich überhaupt noch auf
>>> den Router komme, weil die Regel für Port 2222 für ssh gemacht
>>> ist und ich von der Fritzbox aus über IP_NET_3 ankomme.
>>>
>>> Wieso habe ich noch Zugriff?
>>
>> um das Rauszubekommen, zeige bitte mal alle Variablen PF_* dewr base.txt
>> und die Ausgabe des Befehles "iptables -nvL INPUT" vom Router.

> PF_INPUT_N='4'
> PF_INPUT_1='IP_NET_1 ACCEPT'
> PF_INPUT_2='if:IP_NET_4_DEV:any prot:tcp 2222 ACCEPT'
> PF_INPUT_3='172.16.0.0/24 53 ACCEPT'
> PF_INPUT_4='172.16.16.0/24 53 ACCEPT'

4 INPUT-Regeln ausser dennen die über default oder Dienste eingewrichtet
werden.
 
> Chain INPUT (policy DROP 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
> 64493 5416K in-icmp icmp -- * * 0.0.0.0/0 0.0.0.0/0 /* 
> PF_INPUT_ACCEPT_DEF */
> 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED /* 
> PF_INPUT_ACCEPT_DEF */
> 141K 32M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED /* 
> PF_INPUT_ACCEPT_DEF */
> 775 49993 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 /* PF_INPUT_ACCEPT_DEF */
> 0 0 DROP all -- * * 127.0.0.1 0.0.0.0/0 ctstate NEW /* 
> PF_INPUT_ACCEPT_DEF */
> 0 0 DROP all -- * * 0.0.0.0/0 127.0.0.1 ctstate NEW /* 
> PF_INPUT_ACCEPT_DEF */
> 90228 14M PORTREDIRACCESS all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW /* 
> PF_INPUT_ACCEPT_DEF */
> 91285 14M in-privoxy-1 all -- * * 0.0.0.0/0 0.0.0.0/0 /* privoxy access */
> 17379 7589K in-dhcpd udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* dhcp 
> requests access */
> 40450 2710K in-dns-udp udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* 
> filters DNS UDP requests */
> 12 544 in-dns-tcp tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* filters 
> DNS TCP requests */
> 20493 2481K ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0 /* 
> PF_INPUT_1='IP_NET_1 ACCEPT' */
> 7 448 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 /* 
> PF_INPUT_2='if:IP_NET_4_DEV:any prot:tcp 2222 ACCEPT' */

d.h. der Firewall-Code über setzt das nicht auflösbarer IP_NET_4_DEV in
0.0.0.0 (also any) und dadurch ist von überall der Zugriff auf den TCP-Port
2222 möglich -> das ist ein BUG den Du bitte im fli4l Bugtracker mal
einkippen soltest. Sowohl das Referenzen auf nicht definierte IP_NET_x in
den PF-Regeln zulässig sind, als auch das diese dann im Code auf 0.0.0.0
(ANY) aufgelöst werden.

> 0 0 ACCEPT tcp -- * * 172.16.0.0/24 0.0.0.0/0 tcp dpt:53 /* 
> PF_INPUT_3='172.16.0.0/24 53 ACCEPT' */
> 0 0 ACCEPT udp -- * * 172.16.0.0/24 0.0.0.0/0 udp dpt:53 /* 
> PF_INPUT_3='172.16.0.0/24 53 ACCEPT' */
> 0 0 ACCEPT tcp -- * * 172.16.16.0/24 0.0.0.0/0 tcp dpt:53 /* 
> PF_INPUT_4='172.16.16.0/24 53 ACCEPT' */
> 0 0 ACCEPT udp -- * * 172.16.16.0/24 0.0.0.0/0 udp dpt:53 /* 
> PF_INPUT_4='172.16.16.0/24 53 ACCEPT' */

Deine PF_INPUT_3 und PF_INPUT_4 sind unnötig, da Du die DNS-Anfragen
bereits über die DNS_LISTEN_* in der config/dns_dhcp.txt freigegeben hast
-> köntest Du somit also auch weglassen.

> 12347 820K in-rej all -- * * 0.0.0.0/0 0.0.0.0/0

Gruß Peter


Mehr Informationen über die Mailingliste Fli4L