Hallo!
Ich habe eine aktuelle Version 19.1.4 auf einer apu4.c4 hinter einer fritz.box. WAN auf igb0 mit public IP, LAN auf igb1 mit IP 192.168.100.0/24 - bislang sind nur die Standardregeln gesetzt, also Allow für LAN IPv4* / LAN Netzwerk / *.
igb2 ist aktiviert (DMZ) mit IP 172.20.20.0/24, zum Test zunächst nur eine Regel Allow IPv4 ICMP / DMZ Netzwerk / * gesetzt.
Nun kann ich ein ping erfolgreich vom DMZ auf Rechner im LAN absetzen, jedoch nicht in die andere Richtung also vom LAN auf Rechner in der DMZ. Ich hatte erwartet das dies mit der Regel "Allow IPv4 any" im LAN bereits möglich sein sollte.
Ich probiere nun schon seit einigen Tagen und frage mich ob ich ein unerwartetes Konfigurationsproblem habe, vielleicht aber auch die grundlegende Vorgehensweise für die Regeln noch nicht verstanden habe.
Für geeignete Hinweise wäre ich dankbar!
P.S.: ansonsten funktioniert alles scheinbar ordnungsgemäß. Es laufen auch schon einige Dienste problemlos (HAProxy, Let's Encrypt, DNS over TLS mit Unbound)
ICMP musst Du manuell auf beiden Schnittstellen konfigurieren, das geht nicht stateful.
Damit ein ping erfolgreich geht, werden zwei ICMP-Typen benötigt.
Auf Deinem Quellinterface: ICMP Echo-request
Auf Deinem Zielinterface: ICMP-Echo-reply
Du hast vermutlich in der DMZ nur ICMP echo-request freigegeben. Deswegen geht der Ping von DMZ ins LAN und da ICMP auch zu IPv4 gehört, geht der ICMP Echo-reply von LAN zu DMZ.
Aber da der ICMP Echo-request in DMZ nicht freigegeben ist, kommt im LAN schon nix an.
Deswegen geht Dein Ping vermutlich nicht.
Danke für Deine Antwort, aber das ist nicht das Problem. Standard für ICMP ist all (also echo und reply) eingestellt, wenn man nichts weiter einschränkt. Im LAN ist ja auch IPv4*, also alle Protokolle in der Regel erlaubt.
Auch wenn ich testweise an beiden Interfaces IPv4* allow any to any einstelle, kann ich nur vom DMZ ins LAN pingen, aber nicht andersherum.
Etwas passt nicht...!?
"bislang sind nur die Standardregeln gesetzt, also Allow für LAN IPv4* / LAN Netzwerk / *."
Was bedeutet das? Screenshot wäre hilfreich...
Standard, also die Default-Regeln die initial bei Installation angelegt wurden / siehe screenshot (LAN, DMZ). Ich habe lediglich den Port für die web-gui geändert...
Ok, ich habe das Brett vor'm Schädel abgenommen. Der Rechner in der DMZ (Windows) hat das Netzwerk korrekt als öffentlich deklariert, daher muss (natürlich) auch die Windows-Firewall für den ping geöffnet werden.