[fli4l] Frage zu Fli4l als Ethernet-Router
Friedhold Schuster
f.schuster at gmx.de
Di Jan 29 07:43:05 CET 2019
Hallo Hans,
Am 29.01.2019 um 01:56 schrieb Hans Bachner:
>> [schnipp]
>> PF_INPUT_1='IP_NET_1 ACCEPT'
>> PF_INPUT_2='IP_NET_2 ACCEPT'
>> PF_INPUT_3='IP_NET_3 ACCEPT'
>> [schnipp]
>
> Doch, das Scheunentor ist offen - du erlaubst jeglichen Zugriff auf den
> fli4l aus dem WAN.
>
> Für IP_NET_1 und IP_NET_2 würde ich im Normalfall (ohne besondere
> Anforderungen) höchsten SSH (Port 22) öffnen. Falls du auch OpenVPN
> benutzt - das Paket trägt die nötigen Regeln selbst ein.
Wo kommt das denn her? In meiner base.txt steht:
#------------------------------------------------------------------------------
# Packet filter configuration
#------------------------------------------------------------------------------
#------------------------------------------------------------------------------
# INPUT chain
#------------------------------------------------------------------------------
PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
#PF_INPUT[]='IP_NET_1 ACCEPT'
#PF_INPUT[]='IP_NET_2 ACCEPT'
PF_INPUT[]='IP_NET_3 ACCEPT'
PF_INPUT[]='tmpl:samba DROP NOLOG'
ich finde nirgends ein weiteres PF_INPUT ?
Grüße
Mehr Informationen über die Mailingliste Fli4L