[fli4l] PF_PREROUTING-Regeln für geroutete IPs auf dem DSL-Anschluss

kay kay at martinen.de
Di Okt 11 02:41:07 CEST 2016


Am 11.10.2016 um 00:44 schrob Alexander Bahlo:
> 
>>>> angeben. Das heißt, fli4l muss dann ein NAT für diese öffentlich
>>>> gerouteten IP-Adressen durchführen. (Wie) geht das?  
> 
> Das klappt nun, nachdem ich ich in der PF_PREROUTING-Regel Quelle (any)
> und Ziel (öffentliche IP) und danach DNAT:Destination angegeben habe.
> 
> Dabei ist mir beim Spielen in der Web-GUI aufgefallen, dass man hier
> zwar auch das Template angeben kann, da es hierfür ein eigenes Feld
> gibt, aber es hat keine Auswirkung: Das DNAT-Ziel wird mit allen
> Paketen von Quelle, die an Ziel gehen sollen beschossen - unabhängig
> vom Protokoll. Ich halte das für einen Fehler?!?

Dazu weiß ich nichts, wenn template einen bestimmten bestimmten port
bezeichnen soll mag das ein fehler sein. Aber ich würde meinen das ein
NAT die ports generell 1:1 umsetzt weswegen eine portangabe nutzlos sein
dürfte. Wenn ich richtig liege also: kein Fehler.

> Der Vollständigkeit halber noch meine Frage, ob beabsichtigt ist, dass
> die mit HOST_x_ALIAS_y-vergebenen Alias-Bezeichner nicht in den Routing-
> Regeln verwendet werden können. Immerhin funktionieren sie bei der
> Namensauflösung.

IMHO löst der paketfilter selbst keine adressen auf. Darum kannst er
weder mit alias noch mit domainnamen etwas anfangen.

Die Gründe sind wohl recht simpel. Wenn das ginge, dann müsste m.E. pro
Zutreffender Regel erst eine dns-anfrage ausgeführt werden, egal ob nun
gegen eine hosts-datei oder einen dns-server/proxy. Sonst könnte sich
die IP zu dem namen geändert haben und dann die Regel auf das falsche
Ziel schiessen. Außerdem dauern dns-anfragen sicher deutlich länger als
die durchlaufzeit eines pakets durch die filterregeln.

Denkbar wäre ein um das 100 bis 1000-fach Geringerer Durchsatz - des
gesamten Routings. Wer will das schon.

Kay


Mehr Informationen über die Mailingliste Fli4L