Fli4l mit zwei LANs

[Bonsai]

Folgendes Problem:

Ein Fli4l 1.0.8 mit einer Fritzkarte
Ein LAN zum arbeiten (192.168.5.0/24) mit einem Samba
Ein LAN mit zwei Win98 (192.168.4.0/24) die garantiert Virenverseucht werden, da dort Internetcafemäßig fremde Personen machen dürfen was sie wollen.

Wie kann ich dem Fli4l in der base.txt mitteilen, dass er von den beiden Win98 nur zum Sambaserver im ersten Netz routen soll (zwecks Sambazugriff) und ansonsten die beiden Netze so trennt, dass da kein einziges anderes Paket mehr durchkommt?

Im Moment sind beide Netze über Masquerading im Internet, erreichen sich aber gegenseitig, ausser SMB, die Ports habe ich geschlossen.
Ich werde morgen, wenn ich mehr Zeit habe, mal die base.txt auszugsweise posten, wäre aber trotzdem sehr dankbar, wenn sich schonmal jemand Gedanken macht.

 

[Bonsai]

Hier die Auszüge aus der aktuellen Base.txt:

...
#------------------------------------------------------------------------------
# Ether networks used with IP protocol:
#------------------------------------------------------------------------------
IP_ETH_N='2'                            #number of ip ethernet networks, usually 1
IP_ETH_1_NAME='eth0'                    #optional: other device name than ethX
IP_ETH_1_IPADDR='192.168.5.1'           #IP address of your nth ethernet card
IP_ETH_1_NETWORK='192.168.5.0'          #network of your LAN
IP_ETH_1_NETMASK='255.255.255.0'        #netmask of your LAN
IP_ETH_2_NAME='eth1'                    #optional: other device name than ethX
IP_ETH_2_IPADDR='192.168.4.1'           #IP address of your nth ethernet card
IP_ETH_2_NETWORK='192.168.4.0'          #network of your LAN
IP_ETH_2_NETMASK='255.255.255.0'        #netmask of your LAN
#------------------------------------------------------------------------------
# Additional routes, optional
#------------------------------------------------------------------------------
IP_DEFAULT_GATEWAY=''                   #normally not used, read documentation!
IP_ROUTE_N='0'                          #number of additional routes
IP_ROUTE_1=''                           #network netmask gateway
IP_ROUTE_2=''                           #network netmask gateway
#------------------------------------------------------------------------------
# Masquerading:
#------------------------------------------------------------------------------
MASQ_NETWORK='192.168.1.0/24 192.168.0.0/24'#networks to masquerade (e.g. our LAN)
MASQ_MODULE_N='3'                       #load n masq modules (default: only ftp)
MASQ_MODULE_1='ftp'                     #ftp
MASQ_MODULE_2='irc'                     #irc
MASQ_MODULE_3='msn-0.02'                #msn zone (0.01/0.02)
...
#------------------------------------------------------------------------------
# Optional package: PORTFW
#
# If you set OPT_PORTFW='yes', you can also edit opt/etc/portfw.sh
#------------------------------------------------------------------------------
OPT_PORTFW='no'                         #install port forwarding tools/modules
...
#------------------------------------------------------------------------------
# Routing without masquerading
#------------------------------------------------------------------------------
ROUTE_NETWORK=''                        #optional: route from/to network, no masq
...
#------------------------------------------------------------------------------
# Routing: ports to reject/deny forwarding (from inside and outside!)
#------------------------------------------------------------------------------
FORWARD_DENY_PORT_N='1'                 #no. of ports to reject/deny forwarding
FORWARD_DENY_PORT_1='137:139 REJECT'    #deny/reject forwarding of netbios
FORWARD_TRUSTED_NETS=''                 #but allow forwarding between LANs
#------------------------------------------------------------------------------
# Firewall: ports to reject/deny from outside (all served ports)
#------------------------------------------------------------------------------
FIREWALL_DENY_PORT_N='7'                #no. of ports to reject/deny
FIREWALL_DENY_PORT_1='0:52 REJECT'      #privileged ports: reject or deny
FIREWALL_DENY_PORT_2='54:112 REJECT'    #privileged ports: reject or deny
FIREWALL_DENY_PORT_3='114:1023 REJECT'  #privileged ports: reject or deny
FIREWALL_DENY_PORT_4='5000:5001 REJECT' #imond/telmond ports: reject or deny
FIREWALL_DENY_PORT_5='8000 REJECT'      #proxy access: reject or deny
FIREWALL_DENY_PORT_6='20012 REJECT'     #vbox server access: reject or deny
FIREWALL_DENY_PORT_7='137:139 REJECT'   #SMB Ports
FIREWALL_DENY_ICMP='no'                 #deny icmp (ping): yes or no
FIREWALL_LOG='yes'                      #log access to rejected/denied ports
...

Ich sehe da keine Möglichkeit das Masquerading nur zu ippp0 zuzulasen.
Weiterhin vermisse ich die Möglichkeit das Routing ohne Masquerading nur zu einem Host zuzulassen.

Wahrscheinlich ist da Handarbeit angesagt , kann mir jemand einen Tipp geben, der mich auf die richtige Spur bringt?

 

[lin-pro]

Hast du dir schon die Anleitung durchgelesen?

 

[Bonsai]

Ja habe ich, aber in sämtlichen Anleitungen, HowTo's und anderen Sachen die ich noch mit Google gefunden habe, steht immer nur etwas von einem Netz, oder das zweite ist eine DMZ. Bei mir ist das zweite Netz aber eigentlich eine VHMZ (Very High Militaried Zone )

Ich muss mehr mein Netz vor diesem eher noch stärker sichern, als vom Internet.

Ich lese auch gerade das Buch "Linux Firewalls - Ein praktischer Einstieg" von Andreas G. Lessing aus dem O'Reilly Verlag. Vielleicht hilft mir das weiter.

Ich habe zwar meine Prüfung zum Fachinformatiker mit einer 2 abgeschlossen, (siehe http://www.linux-club.de/viewtopic.php?t=4976) aber leider war in der Schule Routing darauf beschränkt, auf einem NT in VMWare ein bisschen rumzuklicken.