[Fli4l_dev] Firewall-Regeln korrekt umgesetzt?

Rolf Heinrichs rolf.o1.heinrichs at gmx.net
Mo Apr 5 22:06:29 CEST 2021 

Schöne Ostern allerseits (auch wenns fast vorbei ist)!

Hab meine alte APU1 aus dem Schrank geholt und von 3.10.4 auf 3.10.19 
hochgezogen. Die APU war vor Jahren auf meinem DSL6000 mit einer 
ISDN-Anlage der Router, hatte damals ein Speedport rein als Modem 
betrieben. Beim Hochziehen hab ich das DSL-Paket weggelassen und 
versucht das Teil als reinen Ethernetrouter zu konfigurieren. Von da aus 
hab ich dann auf die V4 60066 hochgerüstet. Soweit läuft das Teil. Ich 
hab bei dem Prozess ein paar Regeln verbiegen müssen damit NAT und DNS 
funktionieren. Diese Regel-Änderungen/Anpassungen möchte ich durch 
Kundige überprüfen lassen.

Hardwaresetup:
TCOM-DSL 50MBit --> Fritzbox (10.1.1.1) --> (10.1.1.2) APU2 mit fli4l 
(10.2.2.1) --> Switch --> internes Hausnetz (10.2.2.x/24)
                                         |
                                         --> (10.1.1.3, Netz2) APU1 mit 
fli4l 4.60066 (10.3.3.1, Netz1) --> PC (10.3.3.2)

Die Fritte ist ganz normal konfiguriert und bedient nebenbei zwei 
Telefonleitungen. Das Gastnetz der Fritte nutze ich im Homeoffice für 
meinen Firmenlaptop.

Die APU1 hab ich parallel zu der APU2 an einen anderen GB-Port der 
Fritte angeklemmt und einen einzelen PC dran hängen. Mit dem baue ich 
auch den fli4l.

Ich hab folgende Änderungen eingebracht, gefunden im Netz, im 
wesentlichen in der fli4l-Newsgruppe oder in der fli4l-Doku. Weil die 
Zusammenstellung ein Flickwerk aus vielen Einzelinfos ist, bin ich 
unsicher ob da alles so zusammenpasst und sicher ist. Ich nutze eine 
_fli4l.txt wo alle Änderungen zum Lieferzustand der Configs vermerkt sind.

# Paketfilter
PF_INPUT[]='IP_NET_1 ACCEPT'			# Damit ich überhaupt das interne Netz 
bedienen kann

Sach a mal, müsste da die Klammer nicht so aussehen: PF_INPUT[1]? Wird 
jedenfalls beim Bauen nicht angemeckert. Warum geht das?

# Forwarding
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_N='2'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_1 ACCEPT'
# Maskieren des lokalen Netzes
PF_POSTROUTING_N='1'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'

IP_ROUTE[1]='0.0.0.0/0 10.1.1.1'		# Ohne das geht kein DNS
DNS_FORWARDERS='194.25.2.129'			# T-Online

An dieser Stelle tut sich eine weitere Fragestellung auf. In der Fritte 
steht dieselbe Adresse für DNS bereits drin. Warum funktioniert DNS 
nicht wenn ich bei DNS_FORWARDERS einfach 10.1.1.1 eintrage?

Danke für jedes Feedback, Rolf

Mehr Informationen über die Mailingliste Fli4l_dev