Lan auf Wan ohne any als Ziel



  • Hallo liebe Forum-Mitglieder,

    ich suche nach einer Regel, um meinem LAN Zugriff auf das Internet zu geben.
    Natürlich lässt sich als Ziel einfach "alles" auswählen und die Ports auf 80, 443 usw. setzten und die Sache wäre gegessen.

    Allerdings haben dann auch alle im LAN Zugriff auf die Ports 80:443 usw. im LAN2, LAN3, VPN..., was nicht gewünscht ist.
    Gibt es hier eine Regel oder eine andere Möglichkeit, die den Datenverkehr von LAN nur auf das Internet Interface WAN beschränkt?

    Grüße, Stefan



  • Hallo,

    du kannst dafür die Invert-Funktion bei Destination in einer Pass-Regel nutzen.
    Z.B. Du erstellst eine Pass-Regel, bei Destination "invert" anhaken und als Ziel "LAN2 net" auswählen . Diese Regel erlaubt dann die angegebenen Zielports nach überall ausgenommen ins LAN2.

    Damit du mit einer Regel gleich alle internen Netze abdeckst, erstelle zuerst dafür einen Alias, in dem du alle reinpackst und wähle in der Regel anstatt "LAN2 net" "Single host or alias" und trage daneben den zuvor erstellten Alias ein.

    Ich erstelle mir für solche Zwecke einen Alias, der sämtliche RFC1918 Netze beinhaltet, und verwende diesen. Nachdem ich intern ohnehin nur solche Netze verwende, gilt das immer für sämtliche internen Netze, auch dann noch, wenn ich mal ein Netzwerk ändere oder hinzufüge.

    Grüße



  • Danke für den Tipp, habe es auch gleich mit den RFC1918 Netzen umgesetzt und funktioniert genau wie es soll. 👍

    Grüße Stefan