[fli4l] Frage zu Fli4l als Ethernet-Router

Friedhold Schuster f.schuster at gmx.de
Di Jan 29 07:43:05 CET 2019


Hallo Hans,

Am 29.01.2019 um 01:56 schrieb Hans Bachner:
>> [schnipp]
>> PF_INPUT_1='IP_NET_1 ACCEPT'
>> PF_INPUT_2='IP_NET_2 ACCEPT'
>> PF_INPUT_3='IP_NET_3 ACCEPT'
>> [schnipp]
> 
> Doch, das Scheunentor ist offen - du erlaubst jeglichen Zugriff auf den 
> fli4l aus dem WAN.
> 
> Für IP_NET_1 und IP_NET_2 würde ich im Normalfall (ohne besondere 
> Anforderungen) höchsten SSH (Port 22) öffnen. Falls du auch OpenVPN 
> benutzt - das Paket trägt die nötigen Regeln selbst ein.

Wo kommt das denn her? In meiner base.txt steht:

#------------------------------------------------------------------------------
# Packet filter configuration
#------------------------------------------------------------------------------
#------------------------------------------------------------------------------
# INPUT chain
#------------------------------------------------------------------------------
PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
#PF_INPUT[]='IP_NET_1 ACCEPT'
#PF_INPUT[]='IP_NET_2 ACCEPT'
PF_INPUT[]='IP_NET_3 ACCEPT'
PF_INPUT[]='tmpl:samba DROP NOLOG'

ich finde nirgends ein weiteres PF_INPUT ?

Grüße



Mehr Informationen über die Mailingliste Fli4L