Hi zusammen,
habe bereits mehrere Varianten gesehen um für die jeweiligen Interfaces eine "erlaube alles außer private IP-Adressen"-Regel zu erstellen.
Nur eine Allow-Regel mit invertiertem RFC1918-Destination-Alias zu erstellen würde doch nur IPV4-Verbindungen blocken, oder?
Ich habe aktuell eine IPv4+IPv6-Regel mit invertiertem Destination-Alias, das alle meine Networks enthält, also z. B. __lan_network, __opt1_network_, ___opt2_network, usw. (WAN- und Loop-Interface müssen hier nicht rein, oder?).
Die einzige Gefahr, die ich darin sehe ist, dass sich die Rule nicht bei einem neu hinzukommenden Interface automatisch aktualisiert. Gibt es auch Lösungen die absolut failsafe sind?
Danke :-D
Also was für mich gut funktioniert, ist ein RFC1918NET Alias mit folgenden Netzen:
10.0.0.0/8,169.254.0.0/16,172.16.0.0/12,192.168.0.0/16,fc00::/7,fe80::/10
Dann kann z.B. in einem Gäste LAN, mit der Regel "alles außer" erlaubt werden um einen Internet Zugriff zu gewähren, aber den weg in das restliche Netz zu sperren.
ACTION TCP/IP VERSION PROTOCOL SOURCE DESTINATION PORTS DESCRIPTION
Pass IPv4+IPv6 any LAN net !RFC1918 any Allow all Internet