[fli4l] Paktefilterregeln

Robert Resch fli4l at robert.reschpara.de
Fr Jun 8 13:14:34 CEST 2018


Am 08.06.2018 um 12:54 schrieb Harvey:
> Hi Sebastian,
> 
>> Im normalen Forward geht es nicht, denn die OAC Regeln sind vor denen
>> aus der base.txt (FORWARD-head vs. middle) also hilft da ein POSTROUTING
>> auch nicht weiter, denn da sind die Rechner ja schon geblockt.
> 
> das ist so nicht zementiert. Ich habe das hier anders definiert, weil
> opt_oac in der Standard-Ausführung bestehende Verbindungen nach
> erreichen der Zeitgrenze nicht kappt. Daher sieht das bei mir so aus:
> 
> PF_FORWARD_N='8'
> PF_FORWARD_1='oac-chain'
> PF_FORWARD_2='state:ESTABLISHED,RELATED ACCEPT'
> PF_FORWARD_3='state:INVALID DROP'
> PF_FORWARD_4='state:NEW 127.0.0.1 DROP BIDIRECTIONAL'
> PF_FORWARD_5='pfwaccess-chain'
> PF_FORWARD_6='ovpn-chain'
> PF_FORWARD_7='tmpl:samba DROP'      # drop samba traffic if it tries
>                                     # to leave the subnet
> PF_FORWARD_8='IP_NET_1 ACCEPT'      # accept everything else
> 
> Ich weiss aber nicht, ob das ind em Zusammenhang relevant ist...

Ist es durchaus - du hast ja auch PF_FORWARD_DEFAULT='no' oder so.

Deine Dauererlaubnis muss dann zwingend vor der jetzt noch 1. Regel
eingefügt werden.

Robert


Mehr Informationen über die Mailingliste Fli4L