[fli4l] verkehrte Portweiterleitung

Christoph Schulz fli4l at kristov.de
Mi Mär 23 13:08:28 CET 2016


Hallo!

Frank Hartwig schrieb:

> Nun brauche ich für einen Rechner in diesem Netz die Möglichkeit auf
> Port 22 eine Verbindung zu einem Rechner im Internet herzustellen. Alle
> anderen Ports sollen aber für diesen Rechner und das Netz nach wie vor
> geschlossen bleiben. Kann man das wie folgt lösen:
> 
> PF_FORWARD_1='192.168.100.30:22 ACCEPT'
> PF_POSTROUTING_1='192.168.100.30:22 MASQUERADE'
> 
> oder liege ich da syntaxmäßig völlig daneben.

Leider. Denn du mischst Quelladresse (192.168.100.30) und Zielport (22) 
miteinander.

Ich nehme zuerst mal an, dass es sich _nicht_ um denselben Rechner handelt. 
Somit wähle ich eine andere IP-Adresse (.31).

Mit

  PF_FORWARD_1='192.168.100.31 any:22 ACCEPT'
  PF_POSTROUTING_1='192.168.100.31 any:22 MASQUERADE'

solltest du dein Ziel erreichen.

Bedenke jedoch bitte, dass alle deine hier aufgeführten Regeln sehr lax 
sind. Zum Beispiel erlaubt

  PF_FORWARD_1='192.168.100.30 ACCEPT'

nicht nur dem Rechner .30 den Zugang ins Internet, sondern in jedes andere 
LAN, das am Router hängt. Das mag erwünscht sein, widerspricht jedoch dem 
genannten Zweck. Und sag nicht, du hättest nur ein LAN -- heute vielleicht, 
morgen vielleicht nicht mehr. Und ob du dann alle Regeln durchgehst und 
diese Fälle findest...?

Besser, man formuliert die Regeln gleich strikt, etwa so:

  PF_FORWARD_1='if:any:pppoe 192.168.100.30 ACCEPT'

Also: Alle Pakete, die vom Router von 192.168.100.30 an die pppoe-
Schnittstelle weitergeleitet werden sollen, werden durchgelassen.

Eine abschließende Bemerkung: Maskierung  hat nichts mit Filtern zu tun; 
damit meine ich, dass ob maskiert wird oder nicht nicht von 
Zugangsberechtigungen o.ä. abhängt. Insofern würde ich die Maskierungsregel 
generell so schreiben:

  PF_POSTROUTING_1='IP_NET_1 MASQUERADE'

(wenn IP_NET_1 dein 192.168.100.0/24-LAN meint). Das stört ja nicht für all 
die Rechner, die nicht hinausdürfen, weil deren Pakete schon viel früher 
herausgefiltert wurden. Und du brauchst nur genau einen Eintrag in der 
POSTROUTING-Kette und nicht pro LAN-Rechner mit Sonderrechten einen. Das 
macht die Konfiguration übersichtlicher.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L