Messages

Ok perfekt. Danke für die Klarstellung. Macht alles Sinn und jetzt hat es Klick gemacht. Ich hab hier auch schon einiges im Stillen gelesen und muss sagen, Patrick, du bist eine riesen Bereicherung für dieses Forum!

Und nochmal Gruß an Bob.Dig zum Thema "mach doch einfach mal":
Ich hab auch einfach mal gemacht und zuvor bei der Source und Destination IP immer das jeweilige Interface CIDR-Suffix eingetragen. Die Regeln haben trotzdem irgendwie gegriffen und und ich konnte den Traffic durch die Regel steuern, aber korrekt war das trotzdem nicht!

Hallo Patrick, danke für die ausführliche Antwort!

Ok, ja denke ich habe Routing und Firewalling etwas durcheinander geworfen. Aber dann kommen für mich ja aktuell eigtl. nur 2 Optionen bei disem CIDR-Suffix in der Regelkonfiguration in Frage.

Wenn ich eine Firewall-Regel für einen bestimmten Host erstelle, ist das immer /32 und ansonsten wenn ich mich auf das ganze VLAN beziehe nehme ich direkt LAN net als source (oder eben das entsprechende CIDR-Suffix des VLANs).

Um aber nochmal mein Beispiel mit der Datenbank in einem anderen VLAN (mit anderem Subnet) aufzugreifen. Wenn ich also einen Alias mit der IP der Datenbank erstellt habe, ist dieses also immer /32 und es reicht aus diesen Alias als Destination zu hinterlegen und dabei ist egal welche Subnet-Mask dieses andere Netz mit der Datenbank hat. Ist das so korrekt?

weil ich es richtig machen will, gerade weil ich Anfänger bin, und nur weil ich was konfiguriere und es womöglich geht, heißt es nicht gleich das es richtig war. Hier gehts immerhin um Security....

Außerdem gehts mir ums Verständnis, vorallem geht's mir hauptsächlich um das Verständnis im Zusammenhang mit Frage zwei und das sich da (zumindest in meinem Kopf) die Logik beißt.

Das ist mir bewusst das es kein Consumer Router ist, aber ich habe eine Frage gestellt, die du mir mit deiner Antwort leider auch nicht beantworten konntest.

Hallo Leute,

ich bin recht neu in der Materie und habe 3 Fragen die ich, obwohl ich online gesucht und die Doku gelesen habe, weiterhin nicht verstehe.

1) Wenn ich eine Regel in einem Vlan erstelle, und ich z.B. eine Source IP für ein "Single Host or Network" angebe, gebe ich dann z.B. 10.10.10.5/24, an? Sprich die IP .5 im Netz 10.10.10.0 und gebe somit die Subnet Mask des VLANs an? Oder gebe ich dann immer 10.10.10.10/32 an, um zu sagen das es ein Single Host ist, da ich ja die Regel im entsprechenden VLAN mache, bei der das Subnet ja sowieso schon definiert ist? Ich schätze eher ersteres, weil ansonsten würde diese Logik ja bei einer Destination IP kein Sinn machen, oder? Ich muss ja z.B. sagen können das es sich um eine IP aus einem anderen VLANs mit bspw. anderem Subnet handelt, korrekt?

2) Mit dieser Annahme, verstehe ich allerdings nicht wie die Aliase bzw. genauer gesagt Host-Aliase funktionieren. Denn ich kann ja hier nur eine IP ohne ein Subnet angeben. Woher weiß die Firewall dann das es sich um ein anderes Vlan/Subnet handelt? Ich möchte z.B. einer Datenbank einen Alias geben, diese Datenbank ist in einem anderen VLAN mit anderem Subnet. Als Beispiel, es gibt: VLAN10 = 10.10.10.0/24 und VLAN20 = 10.10.20.0/28

Wenn ich ein Host-Alias erstelle kann ich ja weder VLAN noch Subnet angeben, also z.B: 10.10.10.5/24 um zu sagen das ich die IP .5 im VLAN10 meine, sondern nur 10.10.10.5. Wenn ich also nun dieses Alias im VLAN20 verwende, um die Destination IP anzugeben, weiß diese Regel doch damit eigtl. nicht das ich auf ein anderes Netz möchte, oder doch? Weil wenn doch wäre meine Annahme aus Frage 1 ja auch so, das ich doch bei der Destination /32 verwenden könnte. Weil diese Logiken beißen sich ja gegenseitig. Am Ende einfach die Frage, wie mach ich es korrekt bei Aliasen und wenn ich ein Single-Host (mit Subnet) angebe?

3) Wofür gibt es die Portangabe in Regeln bei der Source? Wenn ich z.B. Port 80 freigeben möchte, klappt das ja nur bei Portangabe auf der Destination. Warum klappt es bspw. nicht an beiden Stelle, also beim Source- und dem Destination-Port? Zumindest bei mir hat das bisher noch nie funktioniert. Wofür benötigt man das wenn man sowie immer auf any stellt?