[fli4l] Frage zur OUTPUT-R?==?utf-8?Q?egel

K. Dreier usenetforum at gmx.net
Mo Mär 18 18:06:56 CET 2019 

Hallo,

(4.0-testing; 1x WAN-NIC (eth0 = NET_1 sowie >1 LAN-NIC (eth1+, NET_2+)

Wie könnte ich einem Client (und: auch einem ganzen internen Netz wie
NET_2) den Zugriff via DNS-Anfragen ins WAN verbieten? Grundsätzlich
sollen alle DNS-Anfragen über einen internen DNS-Server laufen.
Insbesondere für solche Geräte, die den vom fli4l beworbenen
DNS-Server ignorieren.
Zum Testen möchte ich also alles, was nicht über den internen
DNS-Server an den fli4l kommt sperren, um so zu sehen, ob meine
"umbiege"-Regeln via PREROUTING greifen. Das Ergebnis wäre
offensichtlich (= geht oder geht nicht) und ich müsstte nicht Logs vom
Pihole durchforsten.

Kann ich bei den OUTPUT-Regeln die gleiche Logik anwenden wie bei den
anderen? Zum Beispiel:

PF_OUTPUT_POLICY='ACCEPT'	# allow outgoing traffic
PF_OUTPUT_ACCEPT_DEF='no'	# do not use default rule set
PF_OUTPUT[]='@Pihole ACCEPT'	# erlaube sämtlichen Traffic vom
DNS-Server
PF_OUTPUT[]='tmpl:dns IP_NET_2 REJECT'	# verbiete (nicht-Pihole)
DNS-Traffic aus NET_2
PF_OUTPUT[]='tmpl:dns IP_NET_3 REJECT'	# verbiete (nicht-Pihole)
DNS-Traffic aus NET_3
PF_OUTPUT[]='state:ESTABLISHED,RELATED ACCEPT'	# Standard rule applied
now for the rest

Wäre das zielführend?

Der Vollständigkeit halber hier noch der relevante Rest der
Firewall-Regeln:

(default-Regeln)
Post:
PF_POSTROUTING[]='if:any:IP_NET_1_DEV MASQUERADE'		# masquerade traffic
leaving the WAN-NIC
PF_POSTROUTING[]='IP_NET_2 @Pihole:53 SNAT:IP_NET_2_IPADDR'	# make all
packets sent to Pihole look as if they came from fli4l
PF_POSTROUTING[]='IP_NET_3 @Pi3hole:53 SNAT:IP_NET_3_IPADDR'	# make all
packets sent to Pihole look as if they came from fli4l

Pre (das soll DNS-Anfragen egal auf welche externe IP immer auf den
internen Pihole führen):
PF_PREROUTING[]='if:IP_NET_2_DEV:any !@Pihole 53 DNAT:@Pihole:53'	# any
DNS traffic from eth1 passed to Pihole except traffic from Pihole
itself
PF_PREROUTING[]='if:IP_NET_3_DEV:any !@Pihole 53 DNAT:@Pihole:53'	# all
DNS traffic from eth2 ex Ph

Passt das so? Danke für Input!

Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4L