[fli4l] Paketfilter Reihenfolge,c3surf
Frank S.
potsdam at nurfuerspam.de
Di Sep 27 18:05:38 CEST 2016
Hallo Matthias,
habe mal wieder vorbei geschaut.
Das IP_NET_4 ist das von c3Surf abgesicherte, und der TS kann in andere
Netze antworten.
> ... das würde dann so in der Datei c3surf_extrafilter_forward aussehen:
>
> ins_rule filter c3surf_control "prot:TCP IP_NET_4
> [IP-Adresse-des-TS]:3389 ACCEPT" 1 "mein Kommentar"
>
> oder wird das "ACCEPT" zu "RETURN" ...ich muss da mal die Entwicklerdoku
> befragen...
ACCEPT: die Regelkette endet nach dieser Regel, alle folgenden Regeln
aus der Basis-Config werden nicht mehr beachtet. Paket wird geliefert.
RETURN: Regeln aus der Basis-Config werden auch noch ausgeführt. Wenn
dort nichts mehr verboten wird, geht das Datenpaket raus.
Beides wird funktionieren. Für konzeptuelle Reinheit, wäre RETURN gut,
ist aber eher akademisch. ;-)
ins_rule filter c3surf_control "prot:tcp 3389 $IP_NET_4
[IP-Adresse-des-TS] RETURN" 1 "dein Kommentar"
Beachte das "$" vor IP_NET_4, damit weiß die shell, dass es eine
Variable ist.
Den Port hinter das "prot:tcp" anstellen. Aber ganz ehrlich gesagt, das
ist alles so lange her, daher erinnere ich mich nicht genau. Ich habe
die "fwrules.tmpl" dafür erstellt und dort steht "prot:tcp port" drin,
daher schlage ich die Verschiebung des ports vor.
Viel Erfolg.
Gruß
Frank
Mehr Informationen über die Mailingliste Fli4L