IPFW Regel zum einfachen Netzwerkaustausch

Hallo Liste,

Ich bin gerade wieder am herumdoktorn mit meinem IPFW-Ruleset auf FBSD
5.2.1.

Folgendes kommt mir für die laufende OpenVPN-Umgebung ein wenig zu groß vor:

02850 allow ip from 172.16.1.0/30 to 172.16.1.0/30 via tun4
02850 allow ip from $INT_SUB to 192.168.2.0/24 in recv $INT_IF
02850 allow ip from $INT_SUB to 192.168.2.0/24 out xmit tun4
02850 allow ip from 192.168.2.0/24 to $INT_SUB in recv tun4
02850 allow ip from 192.168.2.0/24 to $INT_SUB out xmit $INT_IF
02850 allow ip from $INT_SUB to 172.16.1.2 in recv $INT_IF
02850 allow ip from $INT_SUB to 172.16.1.2 out xmit tun4
02850 allow ip from 172.16.1.2 to $INT_SUB in recv tun4
02850 allow ip from 172.16.1.2 to $INT_SUB out xmit $INT_IF
02850 allow ip from 192.168.2.0/24 to 172.16.1.1 in recv tun4
02850 allow ip from 172.16.1.1 to 192.168.2.0/24 out xmit tun4

INT_IF = mein internes Interface xl0
INT_SUB = 192.168.0.0/24

Netztopologie:
192.168.0.0/24 (xl0) - 172.16.1.1 (tun4) - 172.16.1.2
(Tunnel-Gegenstelle) - 192.168.2.0/24

Ich möchte, wie oben zu sehen den Traffic zwischen den beiden
192.168.x.x-Netzen erlauben und auch von den Tunnelendpoints in die LANs
gelangen.

2 Regeln (1 für recv xl0 und die 2 für xmit tun4) für den selben Traffic
halte ich aber für nicht die beste Lösung.

Diese Lösung aus der ipfw-manpage will aber nicht greifen:
allow ip from 192.168.0.0/24 to 192.168.2.0/24 out recv xl0 xmit tun4
allow ip from 192.168.2.0/24 to 192.168.0.0/24 out recv tun4 xmit xl0

/var/log/ipfw.log:
65000 Deny UDP 192.168.0.2:49153 192.168.2.86:53 out via tun4

Philon

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 07 Sep 2004 - 13:05:19 CEST