[fli4l] 2 seperate NICs/Ne?==?utf-8?Q?tze: Frage zu Zugriff via WL?==?utf-8?Q?AN und App

K. Dreier usenetforum at gmx.net
Do Jun 21 12:21:47 CEST 2018


Hallo,

fli4l 4-testing (52519). Ich habe 2 NICs und jede hat ihr eigenes Netz
zugewiesen: NET2 ist 192.168.1.x und NET3 ist 192.168.2.x (NET1 ist die
WAN-NIC). NET2 und NET3 sind grundsätzlich getrennt via FORWARD-rules
(Firewall auf Standard) mit einem
PF_FORWARD[]='IP_NET_2 IP_NET_3 REJECT' # kein Zugang für NET2 auf
NET3
PF_FORWARD[]='IP_NET_3 IP_NET_2 REJECT' # kein Zugang für NET3 auf
NET2

Im NET2 sitzt der WLAN-Router, der für einen client1_net2 die
Verbindung ins LAN und WAN ermöglicht. NET3 hat einen LAN-client (kein
WLAN-Zugriff). Ich habe verschiedene FORWARD-rules, die mir für
bestimmte clients aus dem NET2 den Zugriff ins NET3 erlauben. Diese
Regeln stehen vor den obigen Reject-Regel. Klappt gut bei
LAN-Verbindungen, nicht so gut bei WLAN-Verbindungen. Schaut z.B. so
aus:
PF_FORWARD[]='@client1_net2 @client2_net3 ACCEPT BIDIRECTIONAL'
(Host-Name via entsprechende Host-Einträge gesetzt inkl. static DHCP)

Problem: mit Smartphone-Apps für den client2_net3 auf dem client1_net2
wird in der App der client2_net3 nicht gefunden (auch nicht via
manuellem Setzen der entsprechenden IP). Das ist nicht gänzlich
verwunderlich, da der sich in einem anderen Netz befindet. Jedoch sollte
die obige Regel doch den Zugriff ermöglichen?

Der client2_net3 hat einen bestimmten Port, auf dem er scheinbar auf die
Kommandos hört (es ist ein AVR, also z.B. Ein/Aus/Lauter/Leiser),
muß/sollte ich den vielleicht noch irgendwie bei der Forward-rule
angeben?

Das komische ist, daß die App auf dem client1_net2 den AVR im NET3
früher mal gefunden hat. Aber seit einer ganzen Weile ist das nicht
mehr der Fall, weswegen ich den AVR ins NET2 umhängen mußte (wo es
funktioniert). Ich möchte aber eine Lösung haben für das Setup, das
ich _eigentlich_ will. Muß doch gehen. :)

Übrigens, es gibt auch noch - vor den Reject-Regeln - unter anderem
PF_INPUT[]='tmpl:dns IP_NET_3 ACCEPT'
PF_INPUT[]='tmpl:ping IP_NET_3 ACCEPT'
PF_FORWARD[]='tmpl:ping IP_NET_2 IP_NET_3 ACCEPT'
PF_FORWARD[]='tmpl:samba DROP NOLOG' 
PF_POSTROUTING[]='IP_NET_2 IP_NET_3 ACCEPT BIDIRECTIONAL'	# no
masquerading between NET2 and NET3

Was muß ich (noch) machen?

Danke und Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L