[fli4l] Mal wieder Frage zur Input-chain

Do Okt 26 14:01:38 CEST 2017

Hallo Klaus,

> Hallo Klaus,
> 
> Am 26.10.2017 um 13:14 schrieb K. Dreier:
>>
>> PF_INPUT_POLICY='REJECT'        # be nice and use reject as policy
>> PF_INPUT_ACCEPT_DEF='yes'       # use default rule set
> 
>> PF_INPUT_N='x' <-------
> 
> Ich vermute, dass es daran liegt (siehe Pfeil)
nee; Das glaub ich NICHT!
Das hat Er bewusst gesetzt (würde auch beim "Build" abgefangen
da =! Interger

> 
>> PF_INPUT_1='22 REJECT'
>> PF_INPUT_2='prot:tcp IP_NET_2 22 ACCEPT' # NET_2= internes LAN
>>
> 
> Die Regeln werden gar nicht angeschaut, oder?
Doch ;)
Nur "PF_INPUT_1='22 REJECT" ist so global das ALLES auf "22" abgewiesen 
wird und damit die 2te gar nicht mehr zum zuge kommt.
> 
>>
>> Als nächsten Test habe ich es dann so gemacht:
>> PF_INPUT_1='if:IP_NET_1_DEV:any prot:tcp 22 REJECT' # NET_1_DEV ist
>> meine WAN-NIC
>> PF_INPUT_2='prot:tcp IP_NET_2 22 ACCEPT'
>>
>> Das geht. Also Zugriff vom LAN und kein Zugriff aus dem WAN. Wieso aber
>> geht die obere Variante nicht?
>>
IMHO; Wenn Du die erste Variante umdrehst sollte sie auch gehen.

> 
> Na ja, wenn man das oben "aktiviert", wird es vermutlich auch greifen.
> 
> 

Gruß
von noch einem

Klaus