Anfängerfrage Port freigeben (?)
-
Ja, Zielsetzung ist einfach,dass alle Interface LAN,OPT1,OPT2 nie mit anderen in Berührung kommen sollen.
D.h. wenn ich bei jedem Interface "Block private networks" das setze,spare ich mir die Regel,da kein Zugriff auf das andere Interface besteht? -
So ist es. Aber bedenke, dass solange der Haken gesetzt ist, können keine Ausnahmen erstellt werden und alle Privaten IP-Ranges (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 u. 127.0.0.0/8) werden somit nicht mehr erreichbar sein.
Wenn diese Clients nur ins Internet sollen, sollte es jedenfalls funktionieren. -
Ich hab mir ein Alias "Private Networks" erstellt und habe somit mit einer Rule pro Interface meine Netze untereinander getrennt.
Blockt das dann nicht auch alle Geräte, die daran hängen und eine private IP haben? Dann würde gar nichts gehen. Ich hab das noch nicht getestet und die Haken bislang nur an der WAN gesetzt.
@Fiddler
Allen Interfaces den Zugang zum Internet zu gewähren und gleichzeitig gegenseitigen Traffic zu unterbinden stellt für eine Regel eine Herausforderung dar, weil der Adressbereich des WWW einen sehr großen Umfang hat. Also setzt man eine Pass-rule für "any". Den gegenseitigen Verkehr müsstest du dann mit Block-Regeln unterbinden.Wenn du nicht gerne Regeln konfigurierst, kannst du das Ganze aber auch mit einer einzigen lösen. Dazu musst du aber eine Floating rule setzen, in der du alle Interfaces auswählst, auf welchen sie gelten soll. Wenn du deine Netze nicht per Netzadresse und Maske definieren kannst, weil so verstreut, musst du dafür erst einen Alias anlegen, in dem alle eingetragen sind und diese in der Regel verwenden.
Die Regel könnte so aussehen:Proto Source Port Destination Port Gateway Queue Schedule Description
pass * * * !<deine nezte="">* * * none Allow WWWRegeln auf den Interfaces werden standardmäßig vorrangig behandelt! D.h. trifft eine zu werden die Floatings nicht mehr beachtet. Soll eine floating rule aber den Vorzug haben, muss die "Quick" Option gesetzt werden.</deine>
-
Blockt das dann nicht auch alle Geräte, die daran hängen und eine private IP haben? Dann würde gar nichts gehen. Ich hab das noch nicht getestet und die Haken bislang nur an der WAN gesetzt.
~~Den Haken habe ich bis jetzt auch nur an einem WAN IF gesetzt, es entspicht aber, bis auf die Loopback Adressen, meiner Rule in meinem Secondary LAN.
Und nein, da es sich um eine In-Regel handelt, greift 1. die Regel nicht im eigenen LAN und 2. wird bei einer internen Kommunikation Lan1-Client1 zu Lan1-Client2 der direkte Weg benutzt und geht daher nicht über den Router bzw. FW.
Es werden zur Komunikation inerhalb eines LANs theoretisch nichtmal IP-Adressen benötigt, aber das ist ne andere Geschichte.~~ -
–-STOPP--
@viragomann hat Recht !Ich hatte einen Gedankenfehler.
Ja man blockt sein eigenes NETZ. Also nicht durchführen.
Bei meiner Rule ist das Private Network auf der Destination Seite und nicht auf der Source ! -
Ich hab mir ein Alias "Private Networks" erstellt und habe somit mit einer Rule pro Interface meine Netze untereinander getrennt.
Blockt das dann nicht auch alle Geräte, die daran hängen und eine private IP haben? Dann würde gar nichts gehen. Ich hab das noch nicht getestet und die Haken bislang nur an der WAN gesetzt.
@Fiddler
Allen Interfaces den Zugang zum Internet zu gewähren und gleichzeitig gegenseitigen Traffic zu unterbinden stellt für eine Regel eine Herausforderung dar, weil der Adressbereich des WWW einen sehr großen Umfang hat. Also setzt man eine Pass-rule für "any". Den gegenseitigen Verkehr müsstest du dann mit Block-Regeln unterbinden.Wenn du nicht gerne Regeln konfigurierst, kannst du das Ganze aber auch mit einer einzigen lösen. Dazu musst du aber eine Floating rule setzen, in der du alle Interfaces auswählst, auf welchen sie gelten soll. Wenn du deine Netze nicht per Netzadresse und Maske definieren kannst, weil so verstreut, musst du dafür erst einen Alias anlegen, in dem alle eingetragen sind und diese in der Regel verwenden.
Die Regel könnte so aussehen:Proto Source Port Destination Port Gateway Queue Schedule Description
pass * * * !<deine nezte="">* * * none Allow WWWRegeln auf den Interfaces werden standardmäßig vorrangig behandelt! D.h. trifft eine zu werden die Floatings nicht mehr beachtet. Soll eine floating rule aber den Vorzug haben, muss die "Quick" Option gesetzt werden.</deine>
Verstehe ich nicht ganz..wie soll deise Regel den Traffic untereinander verbieten?
-
Verstehe ich nicht ganz..wie soll deise Regel den Traffic untereinander verbieten?
Weil da steht !Deine_Netze (also NICHT deine Netze, ergo überallhin, aber NICHT in deine anderen VLANs erlauben).
-
Verstehe ich nicht ganz..wie soll deise Regel den Traffic untereinander verbieten?
Weil da steht !Deine_Netze (also NICHT deine Netze, ergo überallhin, aber NICHT in deine anderen VLANs erlauben).
Aber dann muss ich ja trotzdem jeweils eine Regel erstellen,da bei Destination nur ein Objekt ausgewählt werden kann (?).
-
Aber dann muss ich ja trotzdem jeweils eine Regel erstellen,da bei Destination nur ein Objekt ausgewählt werden kann (?).
Erst erstellst du dir für all deine Netze einen Alias. Steht doch schon merhmals oben im Text. Dann reicht eine einzige Regel.
-
bei Destination nur ein Objekt ausgewählt
Ja. Ein OBJEKT. Das da heißt "Single IP OR ALIAS" und ein Alias kann mehrere Netze umfassen. Entweder man trägt eben in selbiges Alias alle einzelnen Netze händisch ein wie schon mehrfach beschrieben - und wenn dann ein neues dazu kommt, muss es eben in das ALias wieder eingetragen werden oder man definiert das Alias gleich so groß, dass alle jetzigen und zukünftigen Netze eben Bestandteil davon sind. Bampf. :)
-
Hi,
sorry…aber irgendwie verstehe ich's nicht ganz bzw. bekomme es nicht hin :-(