[fli4l] Paketfilter Reihenfolge,c3surf
Matthias Prill
m.prill at gmx.de
Do Sep 29 15:20:57 CEST 2016
Am 27.09.2016 um 18:05 schrieb Frank S.:
> Hallo Matthias,
>
> habe mal wieder vorbei geschaut.
>
> Das IP_NET_4 ist das von c3Surf abgesicherte, und der TS kann in andere
> Netze antworten.
>
>> ... das würde dann so in der Datei c3surf_extrafilter_forward aussehen:
>>
>> ins_rule filter c3surf_control "prot:TCP IP_NET_4
>> [IP-Adresse-des-TS]:3389 ACCEPT" 1 "mein Kommentar"
>>
>> oder wird das "ACCEPT" zu "RETURN" ...ich muss da mal die Entwicklerdoku
>> befragen...
>
> ACCEPT: die Regelkette endet nach dieser Regel, alle folgenden Regeln
> aus der Basis-Config werden nicht mehr beachtet. Paket wird geliefert.
>
> RETURN: Regeln aus der Basis-Config werden auch noch ausgeführt. Wenn
> dort nichts mehr verboten wird, geht das Datenpaket raus.
>
> Beides wird funktionieren. Für konzeptuelle Reinheit, wäre RETURN gut,
> ist aber eher akademisch. ;-)
Hab's jetzt mit RETURN gemacht und funktioniert.
>
> ins_rule filter c3surf_control "prot:tcp 3389 $IP_NET_4
> [IP-Adresse-des-TS] RETURN" 1 "dein Kommentar"
>
> Beachte das "$" vor IP_NET_4, damit weiß die shell, dass es eine
> Variable ist.
Ok, habe ich auch so eingefügt.
>
> Den Port hinter das "prot:tcp" anstellen. Aber ganz ehrlich gesagt, das
> ist alles so lange her, daher erinnere ich mich nicht genau. Ich habe
> die "fwrules.tmpl" dafür erstellt und dort steht "prot:tcp port" drin,
> daher schlage ich die Verschiebung des ports vor.
Habe jertzt erstmal ohne EInschränkun des Ports und des Protokolls
gelöst. Damit kann ich dann auch pingen ...
>
> Viel Erfolg.
Danke! Hab ich jetzt!
Gruß
Matthias
Mehr Informationen über die Mailingliste Fli4L