[fli4l] Paktefilterregeln

Harvey hw234 at gmx.de
Sa Jun 9 13:56:49 CEST 2018


Hi Robert,

>> das ist so nicht zementiert. Ich habe das hier anders definiert, weil
>> opt_oac in der Standard-Ausführung bestehende Verbindungen nach
>> erreichen der Zeitgrenze nicht kappt. Daher sieht das bei mir so aus:
>>
>> PF_FORWARD_N='8'
>> PF_FORWARD_1='oac-chain'
>> PF_FORWARD_2='state:ESTABLISHED,RELATED ACCEPT'
>> PF_FORWARD_3='state:INVALID DROP'
>> PF_FORWARD_4='state:NEW 127.0.0.1 DROP BIDIRECTIONAL'
>> PF_FORWARD_5='pfwaccess-chain'
>> PF_FORWARD_6='ovpn-chain'
>> PF_FORWARD_7='tmpl:samba DROP'      # drop samba traffic if it tries
>>                                     # to leave the subnet
>> PF_FORWARD_8='IP_NET_1 ACCEPT'      # accept everything else
>>
>> Ich weiss aber nicht, ob das ind em Zusammenhang relevant ist...
> 
> Ist es durchaus - du hast ja auch PF_FORWARD_DEFAULT='no' oder so.

klar, gehört dazu:

PF_FORWARD_ACCEPT_DEF='no'          # do not use default rule set

> Deine Dauererlaubnis muss dann zwingend vor der jetzt noch 1. Regel
> eingefügt werden.

dachte ich mir auch, aber die Syntax... Etwa so als neue erste und
zweite Regel? Wie gesagt, ich bin da kein Kenner...

PF_FORWARD_1='tmpl:mail ACCEPT BIDIRECTIONAL'
PF_FORWARD_2='tmpl:smtp ACCEPT BIDIRECTIONAL'

Danke
Harvey


Mehr Informationen über die Mailingliste Fli4L