[fli4l] VLAN - kein ping m?==?utf-8?Q?öglich
K. Dreier
usenetforum at gmx.net
So Jan 27 08:55:39 CET 2019
Hallo,
4.0 testing.
Ich habe mehrere VLANs aktiviert, die clients darin bekommen auch schön
ihre IP für das jeweilige VLAN-Netz zugewiesen (via DHCP), z.B.
10.1.30.x und die clients darin kommen ins Internet. Soweit so gut.
Mein Mgmt-VLAN hat die IP-Range 192.168.1.x. fli4l ist .250. Es ist
NET_2.
Die Switch-Ports sind als Trunks konfiguriert respektive für einen
angeschlossenen client für das jeweilige VLAN untagged. Ich kann von
meinem PC im Mgmt-LAN z.B. 10.1.50.250 pingen. Ich kann aber nicht den
client 10.1.50.123 pingen. Und ja, der ist "online". fli4l httpd-GUI
zeigt mir die clients allerdings eben auch als offline (rot) an. Aber
sagen wir eine fritzbox ist der genannte client: da mein (VoIP-)Telefon
geht, ist das Ding ja nun offensichtlich online. fli4l sieht das nur
nicht, warum auch immer.
Mir scheint, als gäbe es hier ein Probleml mit PF_FORWARD-Regeln?
Ein:
PF_FORWARD[]='IP_NET_2 ACCEPT'
müsste aber doch auf sämtliche (V)LAN ein Zugriff erlauben aus dem
NET_2 raus (also dort, wo der PC hängt und auch die Switches), oder
nicht?
Zwar habe ich
PF_FORWARD[]='IP_NET_5 IP_NET_2 REJECT'
aber das ist ja gerade auch der Sinn: ich möchte den Zugriff aus NET_5
auf NET_2 verbieten.
Die INPUT-Regeln (für das hier gezeigte VLAN-Netz) sind:
PF_INPUT[]='prot:tcp IP_NET_5 8080 REJECT' # reject entire NET_5
access to httpd on fli4l
PF_INPUT[]='tmpl:dns IP_NET_5 ACCEPT' # allow entire NET_5 access
to dns
PF_INPUT[]='tmpl:ntp IP_NET_5 ACCEPT' # allow entire NET_5 access
to ntp
PF_INPUT[]='tmpl:ping IP_NET_5 ACCEPT' # allow entire NET_5 to ping
fli4l
Wo könnte das Problem liegen?
Gruß
Klaus
Mehr Informationen über die Mailingliste Fli4L