[fli4l] Frage zu Fli4l als Ethernet-Router
Friedhold Schuster
f.schuster at gmx.de
Di Jan 29 10:45:39 CET 2019
Hallo
Am 29.01.2019 um 10:09 schrieb K. Dreier:
> du hast doch mindestens zwei IP_NET_x. Das IP_NET_1 ist (normalerweise)
> das Netz, an dem die NIC hängt, die ins WAN geht, bei dir also jene zum
> Kabel-Modem.
> IP_NET_2 ist dann das (erste) interne LAN an der zweiten NIC, die z.B.
> zu einem Switch geht.
Das ist bei mir IP_NET_3. Das IP_NET_2 soll für einen "Reserve-Router"
sein, falls der auf IP_NET_1 ausfällt.
> Wenn nun PF_INPUT_x='IP_NET_1 ACCEPT' steht, dann hat das Kabelmodem und
> damit das gesamte "Internet" freien Zugang zum fli4l und damit, da der
> das ja weiterroutet, in dein gesamtes (eigentlich rein) internes LAN.
> Dumme Idee.;-)
> Da der default "reject" ist, hat es insofern eigentlich auch überhaupt
> keine Einträge zu NET_1 in der Firewall, da dort ja nix rein soll (was
> nicht vorher via "established"-Regel auch raus kam). Insofern ist
> standardmässig der Eintrag für accept dort auch auskommentiert.
> Allerdings sollte der meiner Meinung nach da schon gar nicht erst drin
> stehen - das ist für normale User eine böse Falle... (im Sinne von "es
> geht nicht, ich aktiviere das mal und oh, super, es geht").
>
> Also: weg mit PF_INPUT_1='IP_NET_1 ACCEPT' bzw. auskommentieren. Ich
> würde es löschen.
Sorry, ich habs auch so. Mein Build-Verzeichnis war verbogen, so das ich
die falsche rc.cfg gepostet habe.
So ists jetzt richtig:
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_3 ACCEPT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_LOG_LIMIT='3/minute:5'
PF_FORWARD_N='2'
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_REJ_LIMIT='1/second:5'
PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
PF_INPUT_1='IP_NET_3 ACCEPT'
PF_INPUT_2='tmpl:samba DROP NOLOG'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_ICMP_ECHO_REQ_SIZE='150'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_N='2'
PF_INPUT_POLICY='REJECT'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
PF_OUTPUT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_N='0'
PF_OUTPUT_LOG='no'
PF_OUTPUT_LOG_LIMIT='3/minute:5'
PF_OUTPUT_N='0'
PF_OUTPUT_POLICY='ACCEPT'
PF_OUTPUT_REJ_LIMIT='1/second:5'
PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
PF_POSTROUTING_N='1'
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_PREROUTING_CT_N='0'
PF_PREROUTING_N='0'
PF_USR_CHAIN_N='0'
PORTFW_N='0'
Sind jetzt noch Scheunentore drin?
Dankeschön
Gruß Friedhold
Mehr Informationen über die Mailingliste Fli4L