[fli4l] Mal wieder Frage z?==?utf-8?Q?ur Input-chain

K. Dreier usenetforum at gmx.net
Do Okt 26 13:14:09 CEST 2017


Hallo,

4.0 testing, aber das Prinzip ist ja bei 3.x gleich. Ich habe via Paket
sshd einen SSH-Server auf dem fli4l laufen, den ich ohne jegliche
weiteren Einträge in/für die Firewall einerseits vom internen LAN,
andererseits aber auch aus dem WAN erreichen kann. Letzteres möchte ich
aber abstellen. Also dachte ich mir, daß ich einen entsprechenden
Eintrag bei PF_INPUT setze, der das verbietet. Denn scheinbar wird durch
das aktivieren des Pakets ein entsprechender Eintrag in der Firewall
erstellt, der den Zugriff auf den Server ermöglicht. Macht ja auch
Sinn. ;-)

Ich dachte mir dann, daß ich erstmal allen Zugriff auf den SSH Port
verbiete, egal von wo. Und dann in einer weiteren Regel den Zugriff
wieder für das interne LAN erlaube. Das ging schief:

PF_INPUT_POLICY='REJECT'        # be nice and use reject as policy
PF_INPUT_ACCEPT_DEF='yes'       # use default rule set
PF_INPUT_N='x'
PF_INPUT_1='22 REJECT'
PF_INPUT_2='prot:tcp IP_NET_2 22 ACCEPT' # NET_2= internes LAN

Warum geht das nicht? Mein Verständnis ist, daß erst Regel 1
angewendet wird und dann Regel 2. Wenn doch aber Regel 2 den Zugriff auf
Port 22 wieder - wenn auch nur für das LAN - erlaubt, wieso kann ich
dann von einem solchen NET_2-LAN-client nicht drauf?

Als nächsten Test habe ich es dann so gemacht:
PF_INPUT_1='if:IP_NET_1_DEV:any prot:tcp 22 REJECT' # NET_1_DEV ist
meine WAN-NIC
PF_INPUT_2='prot:tcp IP_NET_2 22 ACCEPT'

Das geht. Also Zugriff vom LAN und kein Zugriff aus dem WAN. Wieso aber
geht die obere Variante nicht? 

Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L