LAN Rule

[greeno]

hi zusammen,

ich habe eine Verständnisfrage:

eine Firewall Rule unter LAN
was macht da der Unterschied bei Source z.B. von * oder LAN_net
wenn ich z.B. einen block auf Spamhaus mache (siehe Attachment)
muss das * sein?

ich muss ja dann z.b. aus einem VLAN trotzdem die gleiche Regel sowieso auch erstellen oder?
danke

[Maurice]

* ignoriert die Source-Adresse. LAN_net matcht nur auf Pakete, deren Source-Adresse im Subnetz des LAN-Interface liegt. Das macht insbesondere dann einen Unterschied, wenn sich im LAN noch weitere Unter-Router befinden.

Bei mehreren (V)LANs kann man entweder die Regel mehrmals erstellen oder mit einer Interface-Gruppe arbeiten; ggfs. auch mit Floating Rules.

[JeGr]

> was macht da der Unterschied bei Source z.B. von * oder LAN_net

Bei einem "ordentlich" aufgebauten Netz, in welchem innerhalb einer Broadcast Domain (also Netzabschnittes) nur ein IP Netz konfiguriert ist (bspw. 10.20.30.0/24), ist die Funktion bei LAN Regeln von * oder LAN_net als Source identisch. Tricky wird es, wenn man mehrere IP Ranges da mixt, weil irgendwelche Geräte plötzlich neue Netze aufspannen oder man im Netz noch einen weiteren Router/Gateway hat, der hintendran noch ein weiteres Netz hat (und dieses nicht NATtet, sondern routet). Dann hat man plötzlich im LAN mehrere IP Ranges, die man ggf. möchte oder nicht.

Aus Sicherheitsgründen empfehle ich immer hier mit LAN_Net zu arbeiten, denn wenn etwas dann NICHT geht, wird man stutzig und aufmerksam darauf, dass man entweder etwas vergessen hat (weiteres Netz) oder dass was im Netz herumfunkt, was da nicht sein sollte.

Grüße

[greeno]

Bei mehreren (V)LANs kann man entweder die Regel mehrmals erstellen oder mit einer Interface-Gruppe arbeiten; ggfs. auch mit Floating Rules.

welche Regel zieht bei Interface LAN zuerst
die in der Interface_Gruppe mit  LAN
oder die wo nur interface LAN ist?

danke