[Fli4l_dev] Circuit-Name wird in firewall rules nur teilweise akzeptiert
Hans Bachner
hans at bachner.priv.at
Sa Nov 30 10:10:15 CET 2019
Hallo allseits,
ich wollte "nur rasch" einen Router mit LTE-Stick fürs Büro
konfigurieren, als vorübergehenden Ersatz für einen fli4l an einem
SDSL-Anschluss (dessen Provider sich mit der Störungsbehebung seeehr
viel Zeit lässt)
Ich habe dazu dir Konfiguration des Standardrouters einerseits
abgespeckt und andererseits um das Paket umts ergänzt.
Für die DMZ habe ich USR_CHAINs definiert und auch doe so weit zusammen
gestutzt, dass (fast) nur der Zugang zum Webserver offen bleibt.
Die USR_CHAIN 'usr-dmz-fwd' besteht aus folgenden Einträgen:
PF_USR_CHAIN_2_RULE_1='if:any:{LTE-IPv4} prot:icmp ACCEPT'
PF_USR_CHAIN_2_RULE_2='if:any:{LTE-IPv4} prot:http ACCEPT'
PF_USR_CHAIN_2_RULE_3='if:any:{LTE-IPv4} prot:traceroute ACCEPT'
PF_USR_CHAIN_2_RULE_4='REJECT NOLOG'
LTE-IPv4 ist mein Circuit auf dem LTE-Stick. Den Circuit-Namen kann ich
in PRE- und POSTROUTING Regeln problemlos verwenden (z.B.
PF_POSTROUTING[]='if:any:{LTE-IPv4} MASQUERADE'), für die USR_CHAIN
bekomme ich aber folgende Fehler gemeldet:
> var::slot_check: Value 'if:any:{LTE-IPv4} prot:http ACCEPT' of
> variable 'PF_USR_CHAIN_2_RULE_2' is not properly typed: please
> refer to the documentationno errormessage yetno errormessage yet
> var::slot_check: Value 'if:any:{LTE-IPv4} prot:traceroute ACCEPT' of
> variable 'PF_USR_CHAIN_2_RULE_3' is not properly typed: please
> refer to the documentationno errormessage yetno errormessage yet
> Error while checking variable values.
> Error while processing configuration, aborting!
Interessanterweise wird der Circuit in PF_USR_CHAIN_2_RULE_1 akzeptiert
und nur in den beiden anderen Regeln angemeckert!
Hat jemand eine Idee, was da los ist, oder gar eine Lösung/einen Workaround?
Basis ist der 4er-tarball von vor einer Woche.
Vielen Dank für zielführende Hinweise + schöne Grüße,
Hans.
Mehr Informationen über die Mailingliste Fli4l_dev