[fli4l] Forwarding - Hilfe benötigt

Sebastian Klein fli4l at wysiwyng.de
Mi Mai 31 12:23:31 CEST 2017


Am 31.05.17 um 09:39 schrieb Klaus Backhaus:
> Moin Allerseits,
> 
> Habe folgende Situation:
> Ein zentraler Backup-Server (B-S) außerhalb meines Netzes, soll von
> einem Client in meinem Netz die Daten sichern.
> Dazu verbindet sich der B-S auf einen bestimmten Port mit dem Client und
> initiiert das Backup. Laut Herstellersupport geht das nicht mit NAT.
> 
> Habe für diese Datenschaufelaktion eine extra NIC (eth5) im Fli verbaut.
> 
> Was möchte ich:
> Nur der B-S soll sich mit dem Fli auf eth5 verbinden können und ohne NAT
> eine Verbindung zum Client aufbauen.
> 
> Wie sage ich es dem Paketfilter?
> 
> Dies habe ich in der Doku der Backupsoftware gefunden:
> 
> -A INPUT -m state --state NEW -m udp -p udp -s aaa.bbb.101.0/28 --dport
> 40031 -j ACCEPT
> -A INPUT -m state --state NEW -m tcp -p tcp -s aaa.bbb.101.0/28 --dport
> 40031:41031 -j ACCEPT

sieht gut aus wenn die Backupsoft auf dem fli4l laufen würde (INPUT)
du brauchst aber ne FORWARD

Also in der Art:
if:IP_NET_3_DEV:IP_NET_1_DEV IP_NET_3 IP_NET_1 ACCEPT
damit könnte dann alles was aus Netz 3 kommt auf Netz 1 zugreifen.
Evtl. möchtest du das aber auch noch genau auf den Port und die IP's
eingrenzen:
if:IP_NET_3_DEV:IP_NET_1_DEV IP_VOM_BS IP_VOM_CLIENT ACCEPT(BIDIRECTIONAL)

bzw.

if:IP_NET_3_DEV:IP_NET_1_DEV prot:tcp IP_VOM_BS
IP_VOM_CLIENT:40031-41031 ACCEPT(BIDIRECTIONAL)

if:IP_NET_3_DEV:IP_NET_1_DEV prot:udp IP_VOM_BS IP_VOM_CLIENT:40031
ACCEPT(BIDIRECTIONAL)

das Ganze kannst du aber auch ohne die zusätzliche Karte machen, die
Regeln sind dann ähnlich kommt aber auf die Reihenfolge und den Kontext an.

-- 
Grüße,
Sebastian
[fli4l-team]


Mehr Informationen über die Mailingliste Fli4L