[fli4l] Paketfilter Reihenfolge,c3surf
Frank S.
potsdam at nurfuerspam.de
Di Sep 20 11:31:29 CEST 2016
Moin Matthias,
ich lese nur sporadisch mit - genauer überfliege und übersehe viel.
On 08.09.2016 13:53, Matthias Prill wrote:
> ...
> Gibt es eine Möglichkeit, trotz c3surf Paket ein lokales Routing zu
> ermöglichen?
Alles richtig beantwortet, es gibt keinen Weg über die config Datei.
Aber ich hatte für solche Fälle etwas vorgesehen, was es bisher nicht in
die config geschafft hat. Es geht per definiertem script, welches
c3surf, in die Regelerstellung integriert. Es nutzt die
Regelerstellungsmacros vom fli4l. Wenn du dir das zutraust liest du weiter!
Problem dabei sind Syntaxfehler, da diese sofort auf den Routerstart
wirken (Abbruch des startscripts!) Also das bootlog prüfen und ggf.
nachbessern.
Nichts für Anfänger! Und so geht es:
Im Ordner "~fli4lhome~/config/files/usr/local/mybin/" eine Datei
"c3surf_extrafilter_forward" und/oder "c3surf_extrafilter_forwardloop"
anlegen. Je nachdem was du brauchst.
c3surf_extrafilter_forward: wird einmalig aufgerufen.
c3surf_extrafilter_forwardloop: wird für jeden HOST bzw. für jedes NET
in "C3SURF_CONTROL_HOST_OR_NET_x" aufgerufen. Der Inhalt von
"C3SURF_CONTROL_HOST_OR_NET_x" steht in der Variable "$my_var" zur
Verfügung.
Damit kann alles "schmutzig" getan werden.
Beispiele mit filter templates:
c3surf_extrafilter_forward (konstante Sachen)
#Anfang
# erlaube mailversand für HOSTs mailer01 und mailer02
ins_rule filter c3surf_control "tmpl:ssl_smtp @mx01 any RETURN" 1 "allow
mailer01 ssl mailport"
ins_rule filter c3surf_control "tmpl:ssl_smtp @mx02 any RETURN" 1 "allow
mailer02 ssl mailport"
c3surf_extrafilter_forwardloop (mit Variable)
# ANFANG
# für jeden HOST/NET Verbindungen ESTABLISHED in NET_1 erlauben.
# also NET_1 darf die Rechner kontaktieren und die darauf antworten
ins_rule filter c3surf_control "state:ESTABLISHED $my_var $IP_NET_1
RETURN" 1 "allow ESTABLISHED to NET_1"
# jeder sich eine Zeit holen
ins_rule filter c3surf_control "tmpl:ntp $my_var any RETURN" 1 "allow ntp"
# ENDE
Frag einfach wieder.
Gruß
Frank
Mehr Informationen über die Mailingliste Fli4L