[fli4l] Paktefilterregeln

[Harvey]

Hi Sebastian,

> Im normalen Forward geht es nicht, denn die OAC Regeln sind vor denen
> aus der base.txt (FORWARD-head vs. middle) also hilft da ein POSTROUTING
> auch nicht weiter, denn da sind die Rechner ja schon geblockt.

das ist so nicht zementiert. Ich habe das hier anders definiert, weil
opt_oac in der Standard-Ausführung bestehende Verbindungen nach
erreichen der Zeitgrenze nicht kappt. Daher sieht das bei mir so aus:

PF_FORWARD_N='8'
PF_FORWARD_1='oac-chain'
PF_FORWARD_2='state:ESTABLISHED,RELATED ACCEPT'
PF_FORWARD_3='state:INVALID DROP'
PF_FORWARD_4='state:NEW 127.0.0.1 DROP BIDIRECTIONAL'
PF_FORWARD_5='pfwaccess-chain'
PF_FORWARD_6='ovpn-chain'
PF_FORWARD_7='tmpl:samba DROP'      # drop samba traffic if it tries
                                    # to leave the subnet
PF_FORWARD_8='IP_NET_1 ACCEPT'      # accept everything else

Ich weiss aber nicht, ob das ind em Zusammenhang relevant ist...

Gruß
Harvey