[fli4l] Paketfilter Reihenfolge,c3surf

Matthias Prill m.prill at gmx.de
Do Sep 29 15:20:57 CEST 2016


Am 27.09.2016 um 18:05 schrieb Frank S.:
> Hallo Matthias,
> 
> habe mal wieder vorbei geschaut.
> 
> Das IP_NET_4 ist das von c3Surf abgesicherte, und der TS kann in andere
> Netze antworten.
> 
>> ... das würde dann so in der Datei c3surf_extrafilter_forward aussehen:
>>
>> ins_rule filter c3surf_control "prot:TCP IP_NET_4
>> [IP-Adresse-des-TS]:3389 ACCEPT" 1 "mein Kommentar"
>>
>> oder wird das "ACCEPT" zu "RETURN" ...ich muss da mal die Entwicklerdoku
>> befragen...
> 
> ACCEPT: die Regelkette endet nach dieser Regel, alle folgenden Regeln
> aus der Basis-Config werden nicht mehr beachtet. Paket wird geliefert.
> 
> RETURN: Regeln aus der Basis-Config werden auch noch ausgeführt. Wenn
> dort nichts mehr verboten wird, geht das Datenpaket raus.
> 
> Beides wird funktionieren. Für konzeptuelle Reinheit, wäre RETURN gut,
> ist aber eher akademisch. ;-)
Hab's jetzt mit RETURN gemacht und funktioniert.
> 
> ins_rule filter c3surf_control "prot:tcp 3389 $IP_NET_4
>  [IP-Adresse-des-TS] RETURN" 1 "dein Kommentar"
> 
> Beachte das "$" vor IP_NET_4, damit weiß die shell, dass es eine
> Variable ist.
Ok, habe ich auch so eingefügt.
> 
> Den Port hinter das "prot:tcp" anstellen. Aber ganz ehrlich gesagt, das
> ist alles so lange her, daher erinnere ich mich nicht genau. Ich habe
> die "fwrules.tmpl" dafür erstellt und dort steht "prot:tcp port" drin,
> daher schlage ich die Verschiebung des ports vor.

Habe jertzt erstmal ohne EInschränkun des Ports und des Protokolls
gelöst. Damit kann ich dann auch pingen ...
> 
> Viel Erfolg.

Danke! Hab ich jetzt!

Gruß
Matthias




Mehr Informationen über die Mailingliste Fli4L